Contrato de Encargado de Tratamiento — DentaLiA / NexoHospital

Versión1.0 — Abril 2026

ÁmbitoDentaLiA · NexoHospital

Base legalRGPD Art. 28 · LOPDGDD

Categoría de datosEspecial (salud) · Art. 9 RGPD

1. Identificación de las partes

Responsable del Tratamiento (el Cliente)

La entidad o profesional sanitario que contrata el servicio, cuyos datos figuran en el formulario de alta y en la factura emitida por Nexo Gestión Global. El Cliente actúa como Responsable del Tratamiento de los datos personales de sus pacientes y personal.

Encargado del Tratamiento (Nexo Gestión Global)

Lucio José Sádaba Modrego
NIF: 17713573P · Actividad: Desarrollo y explotación de software SaaS sanitario
Contacto: lusa@nexogestionglobal.es

2. Objeto y duración

El presente contrato regula el tratamiento de datos personales que el Encargado realizará por cuenta del Responsable con motivo de la prestación del servicio de software de gestión sanitaria (DentaLiA / NexoHospital).

La duración del contrato coincide con la vigencia de la suscripción al servicio. A su terminación, se aplicará lo dispuesto en la cláusula 10.

3. Naturaleza y finalidad del tratamiento

El tratamiento tiene por objeto la prestación del servicio SaaS contratado, que incluye:

Almacenamiento y gestión de historiales clínicos de pacientes
Gestión de citas, tratamientos y presupuestos
Facturación y contabilidad de la clínica
Funcionalidades de inteligencia artificial de apoyo a la decisión clínica (carácter orientativo, no diagnóstico autónomo)
Portal del paciente y comunicaciones asociadas
Gestión de recursos humanos y control horario del personal

4. Categorías de datos y de interesados

    ⚠️ Los datos tratados incluyen datos de categoría especial (datos de salud, Art. 9 RGPD), cuyo tratamiento requiere base jurídica explícita por parte del Responsable.
  

Categoría de datos	Interesados	Base jurídica (Responsable)
Datos de salud, historial clínico, odontograma, radiografías	Pacientes	Prestación asistencia sanitaria (Art. 9.2.h RGPD)
Datos identificativos, contacto, DNI/NIE	Pacientes, personal	Relación contractual / interés legítimo
Datos laborales, nóminas, control horario	Personal de la clínica	Obligación legal / contrato laboral
Datos de facturación, IBAN	Pacientes	Obligación legal fiscal

5. Obligaciones del Encargado

Nexo Gestión Global se compromete a:

Tratar los datos únicamente según las instrucciones documentadas del Responsable y para las finalidades del servicio contratado.
No comunicar los datos a terceros, salvo obligación legal o autorización expresa del Responsable.
Garantizar que las personas autorizadas para tratar los datos se comprometan a guardar confidencialidad.
Implementar las medidas técnicas y organizativas indicadas en la cláusula 7.
Asistir al Responsable en el cumplimiento de los derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación).
Notificar al Responsable, sin dilación indebida y en un plazo máximo de 72 horas, cualquier violación de seguridad de los datos personales.
Suprimir o devolver los datos al finalizar la relación contractual, según instrucción del Responsable.
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las presentes obligaciones.

6. Subencargados del tratamiento

El Responsable autoriza expresamente el uso de los siguientes subencargados, que operan bajo contratos de protección de datos equivalentes:

Subencargado	Función	Ubicación de datos
Oracle Cloud Infrastructure (OCI)	Infraestructura de servidores y cómputo	UE (Frankfurt / Amsterdam)
Neon Tech Inc.	Base de datos PostgreSQL	UE (Frankfurt)
Cloudflare Inc.	CDN, proxy, distribución de frontend	UE preferente
Google LLC (Gemini API)	IA de apoyo clínico orientativo	UE / EE.UU. (cláusulas tipo)
Stripe Inc.	Procesamiento de pagos (no accede a datos de pacientes)	UE

Ante cualquier cambio en la lista de subencargados, Nexo Gestión Global lo comunicará al Responsable con al menos 30 días de antelación, quien podrá oponerse justificadamente.

7. Medidas de seguridad (Art. 32 RGPD)

Nexo Gestión Global aplica las siguientes medidas técnicas y organizativas:

Cifrado de datos en tránsito (TLS 1.2+) y en reposo para campos sensibles (IBAN, NSS, póliza)
Autenticación mediante JWT con expiración y roles por perfil de usuario
Aislamiento multi-tenant: cada cliente accede exclusivamente a sus propios datos
Registro de auditoría de accesos clínicos (ClinicalAccessAudit)
Rate limiting en endpoints públicos para prevención de ataques
Copias de seguridad automatizadas con retención mínima de 30 días
Acceso al código y sistemas restringido al equipo de desarrollo
Sin acceso por parte del proveedor a los datos del cliente salvo incidencia técnica documentada

8. Transferencias internacionales

Los datos se alojan preferentemente en infraestructura ubicada en la Unión Europea. En caso de transferencias a terceros países (p. ej. Google Gemini API), se realizan bajo cláusulas contractuales tipo aprobadas por la Comisión Europea (Art. 46.2.c RGPD), garantizando un nivel de protección equivalente.

9. Derechos de auditoría

El Responsable tiene derecho a auditar el cumplimiento de las obligaciones del Encargado, previa solicitud por escrito con un preaviso de 15 días hábiles. El Encargado colaborará y facilitará el acceso a la información necesaria. Los costes de auditorías externas correrán a cargo del Responsable.

10. Finalización del contrato

A la terminación del servicio, el Encargado, a elección del Responsable:

Devolución: Exportará todos los datos del Responsable en formato estándar (JSON/CSV) en un plazo máximo de 30 días.
Supresión: Eliminará de forma segura todos los datos personales y sus copias en un plazo máximo de 60 días, salvo obligación legal de conservación.

El Encargado emitirá certificación escrita de la supresión o devolución efectuada.

11. Responsabilidad

El Encargado responderá frente al Responsable por los daños y perjuicios causados por incumplimiento de las obligaciones establecidas en el presente contrato o en la normativa aplicable, en los términos previstos en el RGPD y la LOPDGDD.

El Responsable es el único responsable de garantizar la base jurídica para el tratamiento de datos de sus pacientes y del cumplimiento de sus obligaciones como Responsable del Tratamiento.

12. Legislación aplicable

Este contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), y la normativa sanitaria aplicable en España. Para cualquier controversia, las partes se someten a los juzgados y tribunales de Zaragoza, con renuncia a cualquier otro fuero.

Aceptación del contrato

Al contratar cualquiera de los servicios DentaLiA o NexoHospital, el Cliente declara haber leído, comprendido y aceptado íntegramente el presente Contrato de Encargado de Tratamiento, que quedará vinculado desde la fecha de contratación.

Encargado del Tratamiento

Nexo Gestión Global
Lucio José Sádaba Modrego · NIF 17713573P

Responsable del Tratamiento

El Cliente
Aceptado mediante contratación del servicio