Resumen Informativo del Acuerdo de Encargado del Tratamiento (DPA)
Última actualización: 9 de mayo de 2026 Versión: Resumen 1.0 · Referido al DPA v1.2
Aviso: este documento es un resumen informativo público destinado a clientes potenciales del SaaS Verioska Dental Cloud. El acuerdo legalmente vinculante es el DPA completo que el cliente acepta electrónicamente en el momento de la contratación dentro de la plataforma. La versión vigente del DPA está siempre disponible para los clientes activos en su panel.
¿Qué es el DPA?
El DPA (Data Processing Agreement, Acuerdo de Encargado del Tratamiento) es el contrato exigido por el artículo 28 del RGPD entre el Responsable del Tratamiento (la clínica que contrata el SaaS) y el Encargado del Tratamiento (Verioska), que regula cómo se tratan los datos personales cuando una clínica usa Verioska Dental Cloud para gestionar a sus pacientes.
Posición de las partes
- Cliente (clínica) = Responsable del Tratamiento de los datos de sus pacientes y personal.
- Verioska = Encargado del Tratamiento, que trata esos datos por cuenta del cliente.
Datos cubiertos por el DPA
- Categorías de interesados: pacientes de la clínica, personal y colaboradores.
- Categorías de datos:
- Identificativos (nombre, DNI, fecha de nacimiento, dirección, contacto).
- Económicos (facturación, presupuestos, pagos).
- De salud (categoría especial RGPD Art. 9): historia clínica, odontograma, periodontograma, tratamientos, diagnósticos, consentimientos.
- Imágenes médicas: fotografías intraorales, radiografías, CBCT, escáneres digitales.
- Comunicación con pacientes vía WhatsApp Business integrado.
Finalidades autorizadas
Verioska tratará los datos exclusivamente para:
- Almacenar y gestionar la base de datos clínica del cliente.
- Generar agenda, presupuestos, facturas y comunicaciones administrativas.
- Aplicar inteligencia artificial estratégica para detectar oportunidades de mejora de gestión.
- Soporte técnico al cliente.
Verioska NO venderá ni cederá los datos a terceros, salvo a los subencargados autorizados.
Subencargados autorizados
El cliente autoriza a Verioska a recurrir a los siguientes subencargados, todos con cláusulas contractuales tipo o garantías equivalentes:
| Proveedor | Función |
|---|---|
| Supabase Inc. (Reino Unido, eu-west-2) | Base de datos, autenticación, almacenamiento |
| Anthropic PBC (EE. UU.) | Modelos de IA Claude para chatbot de WhatsApp del cliente |
| Google LLC (EE. UU.) | Modelos Gemini para asistente, transcripción de voz, OCR de facturas |
| Meta Platforms (Irlanda + EE. UU.) | WhatsApp Business Cloud API |
| Vercel Inc. (EE. UU.) | Hosting frontend del SaaS |
| Stripe Payments Europe (Irlanda) | Procesamiento de pagos de la suscripción |
| 10dencehispahard SL ("cdmon") (España) | Dominio y email administrativo |
Verioska informará al cliente con al menos 30 días de antelación de cualquier incorporación o sustitución de subencargados, dándole oportunidad de oponerse por motivos justificados.
Medidas de seguridad
Verioska aplica las medidas técnicas y organizativas exigidas por el Art. 32 RGPD:
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
- Aislamiento multi-tenant a nivel de aplicación y base de datos.
- Backups cifrados diarios con restauración a punto en el tiempo (PITR).
- Control de acceso por roles dentro de cada cliente.
- Audit log de operaciones críticas.
- Minimización en IA: a los modelos de IA solo se envían los datos estrictamente necesarios; los proveedores de IA (Anthropic, Google) no usan los datos para entrenamiento de modelos.
Notificación de violaciones de seguridad
Verioska notificará al cliente sin demora indebida y, en cualquier caso, dentro de las 48 horas desde el conocimiento de cualquier violación de seguridad que afecte a sus datos. La notificación incluirá la naturaleza del incidente, las categorías y número aproximado de interesados afectados, las consecuencias probables y las medidas adoptadas.
Asistencia al cliente
Verioska asistirá al cliente para:
- Atender solicitudes de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).
- Realizar evaluaciones de impacto y consultas previas a la autoridad de control cuando sean procedentes.
- Implementar medidas de seguridad apropiadas.
Auditoría
El cliente podrá auditar el cumplimiento de Verioska una vez al año y con preaviso razonable, mediante:
- Revisión documental remota (informes, certificaciones).
- Cuestionarios de seguridad.
- Auditoría in situ acordada previamente.
Devolución y supresión de datos al finalizar el servicio
Tras la finalización del servicio, a elección del cliente, Verioska devolverá o suprimirá todos los datos personales, suprimiendo las copias existentes salvo obligación legal de conservación.
Importante (datos sanitarios): dada la obligación del cliente de custodiar la historia clínica conforme a la Ley 41/2002, Verioska entregará al cliente los datos sanitarios necesarios para que continúe su custodia. Los plazos sanitarios obligatorios recaen sobre el cliente como Responsable y no son delegables a Verioska.
Transferencias internacionales
Las transferencias mencionadas en los subencargados están amparadas por:
- Reino Unido (Supabase): Decisión de Adecuación UE-Reino Unido (2021/1772, prorrogada 2025).
- EE. UU. (Anthropic, Google, Meta, Vercel): Cláusulas Contractuales Tipo (Decisión 2021/914) y, cuando aplica, EU-US Data Privacy Framework.
Verioska ha realizado un Transfer Impact Assessment sobre las transferencias a EE. UU. y aplica las medidas suplementarias técnicas y organizativas correspondientes.
Legislación aplicable
El DPA se rige por la legislación española y de la Unión Europea en materia de protección de datos.
¿Cómo accedo al DPA completo?
- Si es cliente activo: desde su panel en Verioska Dental Cloud, sección "Documentos legales".
- Si está evaluando contratar: puede solicitarlo escribiendo a privacidad@appverioska.com, indicando los datos de identificación de su clínica. Le enviaremos el DPA vigente para su revisión antes de la contratación.
Contacto
- Email para asuntos de privacidad: privacidad@appverioska.com
- Email general / soporte: soporte@verioskadentalcloud.com
- Postal: Emcivi Educación S.L., Calle Pintor Torras 2, 7º 2ª, 08224 Terrassa, Barcelona, España