Contrato de Encargado de Tratamiento (DPA)
Versión 2026-05-20 · Conforme al artículo 28 del RGPD (UE 2016/679) y a la LOPDGDD (LO 3/2018)
Cuando un profesional (nutricionista, dietista, clínica) usa Verkai para gestionar a sus pacientes, esos pacientes le confían datos personales — incluyendo datos de salud. El profesional es el Responsable del tratamiento de esos datos. Verkai actúa como Encargado del tratamiento: los almacenamos y procesamos en nombre del profesional. El artículo 28 del RGPD exige que esa relación esté regulada por un contrato. Este es ese contrato. Al registrarte en Verkai como nutricionista o clínica, aceptas este acuerdo.
1. Partes
Responsable del tratamiento:el profesional o entidad que se registra como nutricionista, dietista o clínica en Verkai (en adelante, “el Responsable”).
Encargado del tratamiento:Pablo Álvarez Carbajal, con NIE/NIF disponible bajo solicitud, como titular de Verkai (en adelante, “el Encargado” o “Verkai”).
2. Objeto
El presente contrato regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del servicio Verkai (plataforma SaaS para la gestión de pacientes, planes nutricionales, mediciones, comunicaciones y demás funcionalidades disponibles en el panel del nutricionista).
3. Datos objeto del tratamiento
El Encargado tratará, por cuenta del Responsable, las siguientes categorías de datos:
- Datos identificativos del paciente: nombre, apellidos, email, fecha de nacimiento, género, teléfono opcional.
- Datos de salud: peso, medidas corporales, alergias, intolerancias, patologías, objetivos nutricionales, restricciones dietéticas, fotos de progreso.
- Datos de uso: interacciones con la plataforma, mensajes intercambiados con el nutricionista, formularios cumplimentados, diario alimentario.
- Datos del profesional: credenciales (email + hash de contraseña), número de colegiado, datos fiscales para facturación, configuración de marca y servicios.
4. Categorías de interesados
- Pacientes del Responsable.
- Empleados o colaboradores del Responsable con acceso al panel (en plan Clínica).
- El propio Responsable.
5. Finalidad del tratamiento
Los datos se tratan exclusivamente para prestar el servicio contratado, que comprende: gestionar la relación nutricionista-paciente, almacenar el historial clínico-nutricional, generar y entregar planes alimentarios, registrar mediciones y progreso, enviar notificaciones operativas (invitaciones, recordatorios, recibos), y emitir facturación cuando proceda.
El Encargado no utilizará los datos para finalidad propia distinta a la prestación del servicio. Tampoco los cederá a terceros salvo a los subencargados listados en la cláusula 9 o cuando exista obligación legal.
6. Duración
Este contrato estará vigente mientras dure la relación contractual entre el Responsable y Verkai. Una vez finalizada, se aplicará lo previsto en la cláusula 11 (devolución o destrucción).
7. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluyendo este contrato y las funcionalidades de la propia plataforma.
- Garantizar el deber de confidencialidad de todas las personas con acceso a los datos en el contexto de la prestación del servicio.
- Aplicar las medidas técnicas y organizativas descritas en la cláusula 8.
- Notificar al Responsable sin dilación indebida (en plazo máximo de 72 horas desde su detección) cualquier brecha de seguridad de los datos.
- Asistir al Responsable en la atención de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad ejercidos por los interesados.
- Cooperar con la Agencia Española de Protección de Datos (AEPD) o cualquier autoridad de control competente cuando sea requerido.
- Mantener un registro de las actividades de tratamiento realizadas por cuenta del Responsable.
8. Medidas técnicas y organizativas de seguridad
El Encargado implementa, como mínimo, las siguientes medidas:
- Cifrado en tránsito (TLS 1.2+) en toda la plataforma.
- Cifrado en reposo de la base de datos (MongoDB Atlas, AES-256).
- Almacenamiento de contraseñas mediante hash bcrypt (no se almacenan en texto plano).
- Autenticación obligatoria por sesión + control de acceso por roles (administrador, nutricionista propietario, empleado, paciente).
- Aislamiento estricto entre cuentas: cada profesional solo accede a sus pacientes.
- Copias de seguridad automáticas diarias del entorno productivo (MongoDB Atlas). Restore validado periódicamente.
- Registro de auditoría de eventos sensibles (acceso, modificación, eliminación).
- Monitorización de errores y disponibilidad mediante Sentry (sin envío de datos personales identificables al servicio).
- Eliminación segura de datos al término del contrato o cancelación de cuenta.
9. Subencargados de tratamiento
El Responsable autoriza expresamente al Encargado a recurrir a los siguientes subencargados, todos ellos con cláusulas RGPD-compatibles. Cualquier modificación sustancial se notificará al Responsable con antelación razonable.
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting de la aplicación web | UE (preferente) / EE.UU.* |
| MongoDB Atlas (MongoDB Inc.) | Base de datos del servicio | Irlanda (eu-west-1) |
| Resend Inc. | Envío de emails transaccionales | Irlanda (eu-west-1) |
| Functional Software Inc. (Sentry) | Monitorización de errores y rendimiento | UE (Alemania) |
| Google LLC (opcional) | Google Calendar (solo si el nutricionista lo activa) y Google OAuth (login) | EE.UU.* |
* Las transferencias internacionales a EE.UU. se amparan en el marco UE-EEUU de privacidad de datos (Data Privacy Framework) y/o en cláusulas contractuales tipo (SCC) adoptadas por la Comisión Europea. Los proveedores afectados están certificados o comprometidos contractualmente con dichos mecanismos.
10. Brechas de seguridad
En caso de brecha de seguridad que afecte a datos personales del Responsable, el Encargado notificará por email a la dirección de contacto del Responsable en un plazo máximo de 72 horas desde su detección. La notificación incluirá, en la medida de lo posible: descripción de la brecha, categorías de datos afectados, número aproximado de interesados, consecuencias probables y medidas adoptadas o propuestas.
11. Devolución o destrucción al término
Al finalizar la prestación del servicio, el Encargado, a elección del Responsable:
- Devolverá los datos al Responsable en formato estructurado (JSON exportable desde el panel) en un plazo máximo de 30 días, o
- Eliminará todos los datos de sus sistemas productivos y de copias de seguridad razonablemente accesibles en el mismo plazo.
La eliminación incluye datos de pacientes, mediciones, planes, conversaciones y archivos asociados. Conservaremos únicamente lo estrictamente necesario por obligación legal (facturas: 4 años conforme a la legislación fiscal española).
12. Derechos de los interesados
El Encargado facilita herramientas para que el Responsable atienda las solicitudes de sus pacientes en materia de acceso, rectificación, supresión, limitación, oposición y portabilidad. En caso de que un paciente se dirija directamente al Encargado, este lo redirigirá al Responsable.
13. Auditorías
El Responsable podrá solicitar, con preaviso razonable y por causa justificada, evidencias del cumplimiento de las medidas de seguridad descritas (informes, políticas, certificaciones de subencargados, etc.). Las auditorías presenciales requerirán acuerdo previo sobre alcance y coste.
14. Aceptación y vigencia
El presente contrato se considera aceptado por el Responsable en el momento del registro o de la primera aceptación expresa dentro de la plataforma. Verkai mantiene constancia de la versión aceptada, fecha y hora. Cualquier actualización sustancial se notificará al Responsable con antelación razonable y requerirá una nueva aceptación.
Para cualquier cuestión relativa a este contrato, contacta con: contact@xanasystems.com.