PappAI
Probar gratis

Acuerdo de Procesamiento de Datos — Plantilla

Visión general de la estructura del DPA de PappAI, medidas técnicas clave y lista de subencargados.

Versión 1.0 · Plantilla (requiere revisión legal antes de su uso contractual) · 21 de febrero de 2026

Esta es una plantilla técnico-operativa. Requiere revisión legal y personalización antes de su uso en cualquier contexto contractual.

Estructura del DPA

  1. Partes (Responsable y Encargado del tratamiento).
  2. Objeto y finalidades del tratamiento.
  3. Duración, categorías de datos y categorías de interesados.
  4. Instrucciones documentadas del Responsable.
  5. Obligaciones del Encargado del tratamiento.
  6. Subencargados y transferencias fuera del EEE/Reino Unido.
  7. Medidas de seguridad y procedimientos de violación de datos.
  8. Derechos de los interesados, derechos de auditoría y resolución.

Medidas técnicas clave

  1. Control de acceso basado en roles y principio de mínimo privilegio.
  2. Cifrado en tránsito (TLS) y en reposo cuando corresponda.
  3. Segregación de entornos: desarrollo / preproducción / producción.
  4. Registros de auditoría operativos y de IA.
  5. Copia de seguridad, recuperación y monitorización continua.
  6. Gestión de secretos mediante gestor de secretos dedicado.

Subencargados actuales

PappAI recurre a los siguientes subencargados para prestar el Servicio. Cada entrada indica la finalidad principal, el país de tratamiento y la base jurídica de cualquier transferencia de datos fuera de la UE/EEE. La lista se mantiene actualizada y cualquier cambio sustancial se notificará con antelación a los Responsables.

ProveedorFinalidadPaís de tratamientoCategorías de datosTransferencia / garantías
Google Cloud Platform (Google LLC)Alojamiento en la nube (Cloud Run, Cloud SQL), almacenamiento de objetos (GCS), registro y monitorización.EU regions (europe-west1) — corporate USATodos los datos del Servicio: clínicos, de cuenta, de facturación, registros operativos.EU SCC + DPA
Google Vertex AI (Google LLC)Inferencia de IA generativa para la elaboración de planes dietéticos y el apoyo al análisis clínico.EU multi-region — corporate USAEntrada seudonimizada enviada al modelo; sin PII; sin participación en el entrenamiento.EU SCC + DPA · no training opt-in
Firebase (Google LLC)Autenticación (tokens de identidad) y entrega de notificaciones push (FCM/APNs).USA — multi-regionIdentidad del usuario (correo, teléfono), tokens push del dispositivo.EU SCC + DPA
Stripe Payments Europe LtdFacturación de suscripciones, emisión de facturas, procesamiento de pagos.Ireland (EU)Datos de cuenta y facturación, historial de transacciones. Sin datos clínicos.Intra-EU
Brevo (Sendinblue SAS)Entrega de correo transaccional (cuenta, notificaciones de facturación, plantillas profesionales).France (EU)Correo del destinatario, contenido del mensaje, estado de entrega.Intra-EU
Twilio Ireland LtdEntrega de SMS / WhatsApp (canal heredado).Ireland (EU) — corporate USANúmero de teléfono del destinatario, contenido del mensaje, metadatos de entrega.EU SCC + DPA
Meta Platforms Ireland LtdWhatsApp Business Cloud API para comunicaciones con plantilla a los pacientes.Ireland (EU) — corporate USANúmero de teléfono del destinatario, variables de plantilla, metadatos de entrega.EU SCC + DPA
Google Analytics 4 (Google LLC)Analítica de uso agregada en el sitio público y la app autenticada.USA — corporateIdentificadores seudónimos, vistas de página, eventos de interacción. Sin datos clínicos.EU SCC + DPA · consent-gated
Microsoft Clarity (Microsoft Corporation)Analítica de UX anonimizada (mapas de calor, repeticiones de sesión).USA — corporateIdentificadores seudónimos, eventos de interacción. Sin datos clínicos; campos sensibles enmascarados.EU SCC + DPA · consent-gated

Todos los subencargados enumerados tratan los datos en virtud de acuerdos escritos que contienen garantías conformes con el RGPD (DPA, CCT de la UE cuando proceda). Ningún subencargado utiliza nunca los datos clínicos de los pacientes para entrenar, ajustar o evaluar modelos de IA.

Anexos previstos

  1. Anexo A: detalle del tratamiento (Art. 28(3) GDPR).
  2. Anexo B: lista actual de subencargados.
  3. Anexo C: medidas técnicas y organizativas (MTOs).

Valoramos tu privacidad

Utilizamos cookies para mejorar tu experiencia, analizar el tráfico del sitio y habilitar funciones personalizadas. Puedes aceptar todas las cookies, rechazar las no esenciales o gestionar tus preferencias. Política de cookies