Ir al contenido principal
Luara.ai logo
Luara
Prueba Gratis

Acuerdo de Encargo de Tratamiento de Datos / Data Processing Agreement (DPA)

Versión: 1.1 Fecha de entrada en vigor: 5 de junio de 2025 Última actualización: 16 de marzo de 2026

Partes del Acuerdo

El presente Acuerdo de Encargo de Tratamiento (en adelante, "DPA") se celebra entre:

RESPONSABLE DEL TRATAMIENTO El profesional sanitario (terapeuta, psicólogo u otro profesional de la salud mental) que utiliza la plataforma Luara para gestionar su actividad profesional (en adelante, "el Responsable").

ENCARGADO DEL TRATAMIENTO Luara AI Sociedad Limitada, con domicilio social en Palma de Mallorca, carrer Pere Dezcallar i Net, número 11, 1, 3, CP 07003, CIF B26594663, titular y operadora de la plataforma Luara (en adelante, "el Encargado" o "Luara").

Conjuntamente denominadas "las Partes".

Considerandos

  1. El Responsable es un profesional sanitario que utiliza la plataforma Luara para gestionar la relación con sus pacientes/clientes, incluyendo comunicaciones, gestión de sesiones y seguimiento terapéutico.

  2. En el desarrollo de dicha actividad, el Responsable trata datos personales de sus pacientes/clientes, incluyendo datos de categoría especial relativos a la salud (artículo 9 del RGPD).

  3. El Encargado proporciona la infraestructura tecnológica y presta los servicios necesarios para que el Responsable pueda llevar a cabo dicha actividad, actuando en todo momento bajo las instrucciones del Responsable.

  4. El artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) exige que el tratamiento por parte de un encargado se rija por un contrato vinculante celebrado por escrito.

En virtud de lo anterior, las Partes acuerdan suscribir el presente DPA, que forma parte integrante de los Términos y Condiciones de Servicio de Luara.

Cláusula 1 — Objeto y ámbito de aplicación

1.1 El presente DPA regula las condiciones bajo las cuales el Encargado tratará datos personales en nombre y por cuenta del Responsable, conforme al artículo 28 del RGPD y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1.2 El Encargado tratará los datos personales exclusivamente para la prestación de los servicios contratados y según las instrucciones documentadas del Responsable.

1.3 El presente DPA prevalecerá sobre cualquier otro acuerdo previo en materia de protección de datos personales entre las Partes.

Cláusula 2 — Naturaleza y finalidad del tratamiento

  • Naturaleza: Almacenamiento, transmisión, organización y visualización de datos a través de la plataforma Luara. Incluyendo recogida, transcripción automática, generación de notas clínicas y almacenamiento cifrado.
  • Finalidad: Prestación de los servicios de gestión terapéutica, comunicación profesional-paciente y seguimiento clínico
  • Tipo de datos: Datos identificativos, de contacto, datos de salud (categoría especial - art. 9 RGPD), contenido de sesiones y conversaciones terapéuticas
  • Categorías de interesados: Pacientes/clientes del Responsable
  • Duración: Mientras esté vigente la relación contractual, sin perjuicio de los plazos de conservación legal (mínimo 5 años para historias clínicas según Ley 41/2002).

Cláusula 3 — Obligaciones del Encargado

El Encargado se compromete a:

3.1 Instrucciones documentadas. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a la transferencia de datos a terceros países u organizaciones internacionales, salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros. Además de garantizar que su personal tiene la alfabetización en IA necesaria para comprender los riesgos y limitaciones del sistema.

3.2 Confidencialidad. Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a guardar confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

3.3 Medidas de seguridad. Aplicar medidas técnicas alineadas con el Esquema Nacional de Seguridad (ENS) Nivel Alto/Medio, incluyendo:

  • Cifrado en tránsito (E2EE) en el transporte de sesiones
  • Cifrado en reposo de los datos
  • Aislamiento lógico de datos entre diferentes Responsables
  • Autenticación multifactor
  • Copias de seguridad periódicas con cifrado
  • Registros de auditoría de acceso
  • Gestión de vulnerabilidades y actualizaciones de seguridad

3.4 Subencargados. No contratar a otro encargado sin autorización previa por escrito del Responsable (general o específica). En caso de autorización general, el Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Responsable la oportunidad de oponerse.

3.5 Asistencia al Responsable. Ayudará al Responsable a responder al ejercicio de derechos (ARCO-POL). Si el paciente ejerce el derecho ante Luara, esta lo comunicará al Responsable en 48 horas.

3.6 Notificación de brechas. Notificar al Responsable, sin dilación indebida y, como máximo, en un plazo de 72 horas tras tener conocimiento de ella, cualquier violación de seguridad de los datos personales, con la información necesaria conforme al artículo 33.3 del RGPD.

3.7 Evaluación de impacto (EIPD). Asistir al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos y en las consultas previas a la autoridad de control, cuando proceda.

3.8 Supresión o devolución. A elección del Responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación de los servicios, suprimiendo las copias existentes salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos.

Cláusula 4 — Gobernanza de la Inteligencia Artificial

4.1 Garantía de "Zero Training".. El Encargado garantiza que no utilizará los datos clínicos ni las transcripciones de las sesiones para entrenar sus propios modelos de IA o los de terceros, salvo anonimización irreversible validada técnicamente.

4.2 Transparencia algorítmica. El Encargado informará de las limitaciones del sistema (posibles "alucinaciones" o sesgos) y etiquetará claramente todo contenido generado o asistido por IA.

4.3 Supervisión Humana. El sistema se diseñará para que el Responsable mantenga siempre el control y la validación final de cualquier contenido generado por IA.

Cláusula 5 — Obligaciones del Responsable

El Responsable se compromete a:

5.1 Proporcionar instrucciones claras, documentadas y conformes con la normativa vigente en materia de protección de datos.

5.2 Garantizar que dispone de una base jurídica legítima para el tratamiento de los datos personales de sus pacientes/clientes, incluyendo el consentimiento explícito cuando sea necesario para el tratamiento de datos de salud.

5.3 Informar a los interesados (pacientes/clientes) del tratamiento de sus datos conforme a los artículos 13 y 14 del RGPD.

5.4 Cumplir con las obligaciones que le corresponden como Responsable del tratamiento, incluyendo el principio de responsabilidad proactiva (accountability).

5.5 Notificar al Encargado de forma inmediata cualquier solicitud de ejercicio de derechos que reciba de los interesados y que afecte a datos tratados a través de la plataforma.

Cláusula 6 — Subencargados y transferencias

6.1 El Responsable otorga al Encargado autorización general para subcontratar los servicios con los siguientes proveedores de infraestructura, que actúan como subencargados:

  • Amazon Web Services (AWS): Infraestructura cloud, almacenamiento, correo electrónico (SES), videollamadas
  • Vercel Inc.: Hosting de la aplicación web
  • Anthropic / OpenAI / Google: Modelos de IA para asistencia en chat
  • Stripe Inc.: Procesamiento de pagos

6.2 Ubicación. Los datos se alojarán preferentemente en el Espacio Económico Europeo. Cualquier transferencia fuera del EEE se amparará en Cláusulas Contractuales Tipo o el Data Privacy Framework

6.3 El Encargado informará al Responsable con al menos 30 días de antelación de cualquier cambio en esta lista.

Cláusula 7 — Duración y resolución

7.1 El presente DPA entra en vigor en la fecha de aceptación por el Responsable durante el proceso de registro en la plataforma y permanecerá vigente mientras dure la relación contractual.

7.2 La resolución del contrato de servicios principal conllevará automáticamente la terminación del presente DPA.

7.3 Tras la terminación, el Encargado eliminará o devolverá todos los datos personales tratados, salvo obligación legal de conservación, en un plazo máximo de 90 días.

Cláusula 8 — Responsabilidad

8.1 Cada Parte será responsable frente a la otra de los daños y perjuicios causados por incumplimiento de las obligaciones establecidas en el presente DPA.

8.2 El Encargado no será responsable de los daños derivados del incumplimiento por parte del Responsable de sus obligaciones como Responsable del tratamiento.

8.3 Límite económico. La responsabilidad total del Encargado se limita a las cuotas pagadas en los últimos 12 meses, salvo en casos de dolo, negligencia grave o infracción de derechos fundamentales.

Cláusula 9 — Legislación aplicable y jurisdicción

9.1 El presente DPA se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa española y europea aplicable en materia de protección de datos.

9.2 Para la resolución de cualquier controversia derivada del presente DPA, las Partes se someten a los Juzgados y Tribunales de Palma de Mallorca, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

9.3 La autoridad de control competente en España es la Agencia Española de Protección de Datos (AEPD), con sede en Madrid.

Cláusula 10 — Modificaciones

El Encargado podrá actualizar el presente DPA para reflejar cambios normativos o técnicos. Notificará al Responsable de los cambios entren en vigor. El uso continuado de la plataforma tras dicha notificación implicará la aceptación de las modificaciones.

Anexo I — Descripción del tratamiento

A. Categorías de interesados

  • Pacientes y/o clientes del Responsable
  • Potenciales pacientes/clientes (en comunicaciones previas al inicio de la relación terapéutica)

B. Categorías de datos personales

  • Datos identificativos: nombre, apellidos, fecha de nacimiento, documento de identidad
  • Datos de contacto: dirección de correo electrónico, número de teléfono
  • Datos de salud (categoría especial - art. 9 RGPD): información clínica, historial terapéutico, contenido de sesiones, notas clínicas, evaluaciones psicológicas
  • Datos de comunicación: mensajes de chat, transcripciones de sesiones de vídeo
  • Datos técnicos: dirección IP, identificadores de dispositivo, datos de uso de la plataforma

C. Datos sensibles

El tratamiento incluye datos de categoría especial (datos relativos a la salud) conforme al artículo 9 del RGPD, los cuales requieren medidas de seguridad reforzadas.

D. Frecuencia del tratamiento

Continua, durante toda la vigencia de la relación terapéutica.

E. Naturaleza del tratamiento

Recogida, registro, organización, estructuración, conservación, adaptación, modificación, consulta, comunicación, difusión, supresión y destrucción.

F. Finalidades del tratamiento

  1. Gestión de la relación profesional-paciente a través de la plataforma
  2. Comunicación cifrada entre terapeuta y paciente
  3. Programación y gestión de sesiones terapéuticas
  4. Almacenamiento seguro de notas clínicas y documentación
  5. Seguimiento de actividades y tareas terapéuticas
  6. Generación de resúmenes de sesión asistidos por IA (con consentimiento explícito)

G. Período de conservación

Los datos se conservarán durante la vigencia del contrato y, posteriormente, durante el período legalmente exigible según la normativa sanitaria aplicable (mínimo 5 años conforme a la legislación española de documentación clínica).

Anexo II — Medidas técnicas y organizativas de seguridad

Medidas técnicas

  • Cifrado en tránsito: TLS 1.2 / 1.3 en todas las comunicaciones
  • Cifrado en reposo: AES-256 para datos almacenados
  • Autenticación: Autenticación multifactor (MFA) mediante AWS Cognito
  • Control de acceso: RBAC con privilegios mínimos
  • Copias de seguridad: Backups automáticos cifrados con verificación periódica
  • Registros de auditoría: Logging completo de accesos y operaciones sobre datos sensibles
  • Gestión de vulnerabilidades: Análisis periódico de seguridad y parcheo de vulnerabilidades
  • Cifrado de videollamadas: Cifrado de extremo a extremo en sesiones de vídeo

Medidas organizativas

  • Formación: Formación periódica del personal en protección de datos
  • Confidencialidad: Acuerdos de confidencialidad con todo el personal con acceso a datos
  • Gestión de incidentes: Procedimiento documentado de respuesta a brechas de seguridad
  • Revisión de subencargados: Evaluación periódica del cumplimiento de subencargados
  • Delegado de Protección de Datos: Jordi Llull Chavarria

Aceptación

Al marcar la casilla correspondiente durante el proceso de registro en la plataforma Luara, el Responsable declara:

  • Haber leído y comprendido el presente Acuerdo de Encargo de Tratamiento en su totalidad.
  • Aceptar todos los términos y condiciones aquí establecidos.
  • Confirmar que actúa en calidad de Responsable del tratamiento de los datos de sus pacientes/clientes.
  • Disponer de la capacidad legal necesaria para suscribir el presente DPA en nombre propio o de la entidad que representa.

Se dejará constancia de la aceptación mediante registro técnico que incluirá: fecha y hora UTC, dirección IP del dispositivo, identificador de usuario, versión del DPA aceptada y user-agent del navegador.

Luara es una plataforma tecnológica para profesionales de la salud mental. Para cualquier consulta sobre este DPA, contacta con nosotros en soporte@luara.ai.