Contrato de Encargo de Tratamiento

Art. 28 del Reglamento (UE) 2016/679 (RGPD)

⚠️ Este contrato es obligatorio para que un profesional de la psicología pueda utilizar mentaly. como plataforma de gestión de datos de pacientes. Al registrarte y usar mentaly., aceptas los términos de este Contrato de Encargo de Tratamiento.

PRIMERO — Partes

RESPONSABLE DEL TRATAMIENTO: El profesional de la psicología registrado en mentaly. (en adelante, "el Profesional").

ENCARGADO DEL TRATAMIENTO: mentaly. Software S.L. (en adelante, "mentaly.").

SEGUNDO — Objeto del encargo

El Profesional encarga a mentaly. el tratamiento de datos personales necesario para la prestación del servicio de gestión de consulta psicológica, que incluye:

Almacenamiento de datos de pacientes
Gestión de citas y agenda
Almacenamiento de notas de sesión e historial clínico
Generación de facturas
Envío de recordatorios de citas

TERCERO — Categorías de datos tratados

Datos identificativos: nombre, DNI, email, teléfono, dirección
Datos de categoría especial (Art. 9 RGPD): datos de salud mental, diagnósticos, notas clínicas, cuestionarios psicológicos

CUARTO — Duración

Este contrato tendrá vigencia mientras el Profesional mantenga una cuenta activa en mentaly.. Tras la cancelación, mentaly. conservará los datos durante 90 días y después los eliminará de forma segura, salvo obligación legal de conservación.

QUINTO — Obligaciones de mentaly. (Encargado)

Tratar los datos únicamente según las instrucciones documentadas del Profesional.
No utilizar los datos para fines propios ni compartirlos con terceros no autorizados.
Garantizar que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad.
Implementar las siguientes medidas de seguridad técnicas y organizativas:
- Cifrado AES-256 de datos clínicos en reposo
- Transmisión cifrada (TLS 1.3)
- Control de acceso basado en autenticación de sesión
- Registro de auditoría de todos los accesos a datos de pacientes
- Copias de seguridad diarias cifradas
- Almacenamiento en servidores dentro de la UE
No realizar transferencias internacionales de datos fuera del EEE sin autorización.
Asistir al Profesional en el cumplimiento de las solicitudes de derechos de los pacientes (acceso, rectificación, supresión, portabilidad).
Notificar al Profesional cualquier brecha de seguridad en un plazo máximo de 72 horas.
Poner a disposición del Profesional toda la información necesaria para demostrar el cumplimiento del RGPD.
Al finalizar la relación contractual, devolver o eliminar los datos personales, a elección del Profesional.

SEXTO — Obligaciones del Profesional (Responsable)

Obtener el consentimiento informado de cada paciente para el tratamiento de sus datos de salud.
Informar a los pacientes sobre el uso de mentaly. como Encargado del Tratamiento.
No subir datos a mentaly. sin base legal para su tratamiento.
Mantener actualizados los datos de los pacientes.
Comunicar a mentaly. cualquier instrucción, cambio o incidencia relevante.

SÉPTIMO — Subencargados

mentaly. podrá recurrir a los siguientes subencargados de tratamiento:

Hostinger International Ltd. — Alojamiento web (servidores UE)
Stripe, Inc. — Procesamiento de pagos
Google LLC — Autenticación OAuth (solo email y nombre)

mentaly. informará al Profesional de cualquier cambio en los subencargados con al menos 30 días de antelación.

OCTAVO — Legislación aplicable

Este contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española aplicable.

NOVENO — Aceptación

Al registrarse en mentaly. y aceptar los Términos y Condiciones del Servicio, el Profesional acepta los términos de este Contrato de Encargo de Tratamiento.