Acuerdo de Tratamiento de Datos (DPA)

Última actualización: mayo 2026 · Versión 1.0

Este acuerdo regula el tratamiento de datos personales que Clinvo realiza por cuenta del dentista, conforme al Art. 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes

Responsable del tratamiento: el dentista autónomo registrado en Clinvo, en adelante "el Responsable".

Encargado del tratamiento: Clinvo, titular del servicio accesible en clinvo.es, en adelante "Clinvo" o "el Encargado".

2. Objeto y duración

Clinvo tratará datos personales de pacientes por cuenta del Responsable para la prestación del servicio de gestión de agenda, pacientes, horas y finanzas.

El acuerdo estará vigente mientras el Responsable mantenga una cuenta activa en Clinvo. A la cancelación de la cuenta, Clinvo eliminará o devolverá los datos conforme a la cláusula 7.

3. Naturaleza del tratamiento

Clinvo tratará los siguientes tipos de datos:

  • Datos identificativos del paciente: nombre, teléfono, email, fecha de nacimiento.
  • Datos de salud: notas clínicas, tratamientos realizados o previstos, historial de visitas.
  • Datos de agenda: fechas y horas de citas, estado, origen de la cita.
  • Datos de consentimiento: fecha/hora y dirección IP del registro de consentimiento.

Los datos de salud constituyen una categoría especial conforme al Art. 9 RGPD y se tratan bajo el amparo del Art. 9.2.h (fines de medicina preventiva o laboral y gestión de servicios sanitarios).

4. Obligaciones de Clinvo

Clinvo se compromete a:

  • Tratar los datos únicamente según las instrucciones documentadas del Responsable (uso del servicio) y nunca para fines propios.
  • Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a guardar confidencialidad.
  • Aplicar medidas técnicas y organizativas apropiadas (cifrado en tránsito TLS, contraseñas cifradas con bcrypt, control de acceso por userId, cabeceras de seguridad HTTP).
  • Asistir al Responsable en el cumplimiento de los derechos de los interesados (acceso, rectificación, supresión, portabilidad).
  • Notificar al Responsable, sin dilación indebida, cualquier violación de seguridad que afecte a los datos tratados.
  • No contratar subencargados adicionales sin informar al Responsable con al menos 30 días de antelación.

5. Obligaciones del Responsable

El Responsable se compromete a:

  • Tener una base legal válida para introducir datos de sus pacientes en Clinvo (consentimiento del paciente, contrato de servicios sanitarios u otra base legal del Art. 6 / Art. 9.2 RGPD).
  • Informar a sus pacientes de que sus datos son tratados en Clinvo como herramienta de gestión.
  • Mantener la confidencialidad de las credenciales de acceso y comunicar a Clinvo cualquier uso no autorizado.

6. Subencargados

El Responsable autoriza el uso de los siguientes subencargados:

  • Hetzner Online GmbH (Alemania, UE) — alojamiento del servidor y base de datos.
  • Resend, Inc. — envío de emails transaccionales (OTP, alertas de seguridad). Solo recibe la dirección de email del dentista, no datos de pacientes.
  • Stripe, Inc. — procesamiento de pagos. Solo recibe datos de facturación del dentista, no datos de pacientes.

7. Devolución y eliminación de datos

Tras la cancelación de la cuenta, el Responsable puede exportar todos sus datos desde Ajustes → Privacidad y datos → Exportar mis datos antes de eliminar la cuenta.

Una vez eliminada la cuenta, Clinvo suprimirá en cascada todos los datos asociados (clínicas, pacientes, citas, finanzas, facturas) de forma permanente. Se conservarán únicamente los datos de facturación durante el período legalmente exigido (5 años).

8. Auditoría

El Responsable tiene derecho a solicitar información razonada sobre las medidas de seguridad aplicadas. Clinvo responderá a estas solicitudes en un plazo máximo de 30 días hábiles.

9. Actualizaciones del DPA

Clinvo puede actualizar este acuerdo para reflejar cambios técnicos, legales o en los subencargados. Los cambios se comunicarán por email con al menos 30 días de antelación. Si el Responsable no acepta los cambios, puede cancelar su cuenta antes de la entrada en vigor.

10. Legislación aplicable

Este acuerdo se rige por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Las partes se someten a la jurisdicción de los Juzgados y Tribunales españoles.