Nova

Contrato de Encargo de Tratamiento (DPA)

Última actualización: Abril 2026

El presente Contrato de Encargo de Tratamiento (Data Processing Agreement, en adelante "DPA") se celebra entre la clínica que se registra en la plataforma (en adelante, el "Responsable del Tratamiento" o "la Clínica") y Nova Clinic S.L. (en adelante, el "Encargado del Tratamiento" o "Nova").

Este contrato se formaliza conforme al artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y al artículo 33 de la Ley Orgánica 3/2018 (LOPD-GDD).

1. Objeto y duración

Nova tratará datos personales por cuenta de la Clínica con el único fin de prestar el servicio de gestión clínica contratado. La duración del encargo coincide con la vigencia de la suscripción.

2. Naturaleza y finalidad del tratamiento

  • Naturaleza: almacenamiento, consulta, modificación y eliminación de datos en la plataforma SaaS.
  • Finalidad: prestación del servicio de gestión clínica (agenda, historial, facturación, comunicaciones).

3. Tipos de datos personales

  • Datos identificativos de pacientes: nombre, apellidos, DNI/NIE, fecha de nacimiento, dirección, teléfono, email.
  • Datos de salud (categoría especial, RGPD Art. 9): historial clínico, notas médicas, diagnósticos, tratamientos realizados, alergias, condiciones médicas previas.
  • Imágenes clínicas: fotografías de progreso.
  • Datos económicos: facturas, cobros, deudas pendientes.
  • Consentimientos informados: documentos firmados digitalmente.

4. Categorías de interesados

  • Pacientes de la clínica.
  • Empleados y colaboradores de la clínica.

5. Obligaciones del Encargado (Nova)

Conforme al RGPD Art. 28.3, Nova se compromete a:

  1. (a) Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las transferencias de datos.
  2. (b) Garantizar que las personas autorizadas a tratar datos se han comprometido a respetar la confidencialidad.
  3. (c) Tomar las medidas de seguridad requeridas por el Art. 32 del RGPD (ver sección 7).
  4. (d) No recurrir a otro encargado sin autorización previa. La lista de sub-encargados se detalla en la sección 6.
  5. (e) Asistir al Responsable para atender las solicitudes de ejercicio de derechos de los interesados.
  6. (f) Asistir al Responsable en el cumplimiento de las obligaciones de los Arts. 32-36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto).
  7. (g) A elección del Responsable, suprimir o devolver todos los datos personales al finalizar el contrato, y suprimir las copias existentes salvo obligación legal de conservación.
  8. (h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento y permitir auditorías.

6. Sub-encargados

Nova utiliza los siguientes sub-encargados del tratamiento. Cualquier cambio se notificará a la Clínica con al menos 30 días de antelación.

  • Proveedor de VPS (hosting BD) — almacenamiento y procesamiento de datos. Servidores en la Unión Europea.
  • Vercel, Inc. — hosting de la aplicación web. Procesamiento en EU/US con garantías adecuadas (Cláusulas Contractuales Tipo).
  • Stripe, Inc. — procesamiento de pagos de suscripción. No accede a datos de pacientes.
  • Amazon Web Services (AWS) — envío de emails (SES) y SMS (SNS). Región EU (Irlanda).

7. Medidas de seguridad (RGPD Art. 32)

  • Cifrado de datos sensibles en reposo: AES-256-GCM con clave de cifrado por tenant (Envelope Encryption).
  • Cifrado de datos en tránsito: TLS 1.2+ obligatorio.
  • Control de acceso: sistema RBAC con 8 roles diferenciados.
  • Aislamiento de datos: filtrado por clinicId en toda consulta + Row Level Security (RLS) en PostgreSQL.
  • Auditoría: registro de toda operación sobre datos sensibles.
  • Copias de seguridad: diarias, cifradas, con retención según plan.
  • Pseudonimización: datos de salud cifrados con clave específica por clínica.
  • Control de acceso físico: acceso a servidores restringido con autenticación SSH y firewall.

8. Notificación de brechas de seguridad

Nova notificará a la Clínica cualquier violación de seguridad que afecte a datos personales en un plazo máximo de 24 horas desde su detección. La notificación incluirá:

  • Naturaleza de la violación.
  • Categorías y número aproximado de interesados afectados.
  • Posibles consecuencias.
  • Medidas adoptadas o propuestas para poner remedio.

Esto permitirá a la Clínica cumplir con su obligación de notificación a la AEPD en 72 horas (RGPD Art. 33).

9. Auditorías

La Clínica tiene derecho a realizar auditorías, directamente o a través de un auditor independiente, para verificar el cumplimiento de este DPA. Las auditorías se realizarán con previo aviso de 30 días y en horario comercial.

10. Devolución y eliminación de datos

Al finalizar la relación contractual:

  • La Clínica podrá solicitar la exportación de todos sus datos en formato estructurado (JSON/CSV).
  • Transcurridos 30 días desde la cancelación, Nova eliminará todos los datos de forma irreversible.
  • Se conservarán únicamente los datos cuya retención sea obligatoria por ley (facturas: 5 años; historiales clínicos: según normativa autonómica).

11. Localización de datos

Todos los datos personales se almacenan y procesan dentro de la Unión Europea. En caso de que sea necesaria una transferencia fuera del EEE, se aplicarán las garantías previstas en el RGPD (Capítulo V).

12. Legislación aplicable

Este contrato se rige por el RGPD (UE) 2016/679, la LOPD-GDD 3/2018 y la legislación española aplicable.