Acuerdo de encargado del tratamiento
Última actualización: junio 2026
1. Partes y objeto
El presente acuerdo («DPA») complementa los Términos de uso y la Política de privacidad de MentalGest.
Responsable del tratamiento: el profesional o consultorio que introduce y gestiona datos personales de pacientes en la plataforma.
Encargado del tratamiento: MentalGest, que procesa esos datos por cuenta del responsable para prestar el servicio contratado.
Al registrarse o continuar usando la plataforma, el responsable acepta este DPA en la versión publicada en esta página.
Responsable del tratamiento: el profesional o consultorio que introduce y gestiona datos personales de pacientes en la plataforma.
Encargado del tratamiento: MentalGest, que procesa esos datos por cuenta del responsable para prestar el servicio contratado.
Al registrarse o continuar usando la plataforma, el responsable acepta este DPA en la versión publicada en esta página.
2. Instrucciones del responsable
MentalGest tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable, expresadas a través del uso de la plataforma (altas de pacientes, notas, citas, formularios, consentimientos, funciones de IA solicitadas por el usuario, etc.) y conforme a este DPA y a la legislación aplicable.
Si MentalGest considera que una instrucción infringe la normativa de protección de datos, informará al responsable sin demora indebida.
Si MentalGest considera que una instrucción infringe la normativa de protección de datos, informará al responsable sin demora indebida.
3. Confidencialidad
MentalGest garantiza que el personal autorizado a tratar datos personales está sujeto a obligaciones de confidencialidad. Se aplican controles de acceso por rol y aislamiento entre consultorios (multi-tenant).
4. Medidas de seguridad
MentalGest implementa medidas técnicas y organizativas apropiadas, entre ellas: cifrado en tránsito (HTTPS), cifrado de campos clínicos sensibles en reposo, autenticación segura, protección CSRF, limitación de intentos en accesos sensibles y registro de uso de funciones de IA.
El detalle operativo se describe en la Política de privacidad. MentalGest puede actualizar las medidas siempre que mantenga un nivel de seguridad acorde al riesgo del tratamiento.
El detalle operativo se describe en la Política de privacidad. MentalGest puede actualizar las medidas siempre que mantenga un nivel de seguridad acorde al riesgo del tratamiento.
5. Subencargados
El responsable autoriza a MentalGest a recurrir a subencargados que participan en la prestación del servicio (infraestructura, IA, transcripción, integraciones opcionales). La lista actualizada figura en la sección «Subencargados» de la Política de privacidad.
MentalGest exige a los subencargados relevantes obligaciones de confidencialidad y tratamiento acordes a este DPA. Notificará cambios sustanciales de subencargados mediante actualización de la política o aviso razonable en la plataforma.
MentalGest exige a los subencargados relevantes obligaciones de confidencialidad y tratamiento acordes a este DPA. Notificará cambios sustanciales de subencargados mediante actualización de la política o aviso razonable en la plataforma.
6. Asistencia en derechos de los titulares
MentalGest asistirá al responsable, en la medida de lo posible, para atender solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, limitación, portabilidad u oposición, según la ley aplicable en cada país).
Las solicitudes de pacientes deben canalizarse en primer lugar al profesional responsable. MentalGest puede atender solicitudes dirigidas a mentalgest@gmail.com y, cuando corresponda, derivarlas al consultorio titular de los datos.
Las solicitudes de pacientes deben canalizarse en primer lugar al profesional responsable. MentalGest puede atender solicitudes dirigidas a mentalgest@gmail.com y, cuando corresponda, derivarlas al consultorio titular de los datos.
7. Notificación de incidentes de seguridad
MentalGest notificará al responsable sin demora indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento de una violación de seguridad que afecte datos personales tratados en su nombre. Si en ese plazo no dispone de toda la información, realizará una notificación inicial y la completará de forma escalonada conforme la información esté disponible, con el objetivo de permitir al responsable cumplir los plazos de notificación exigidos por su legislación local.
La notificación incluirá, como mínimo: naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, posibles consecuencias y medidas adoptadas o propuestas, y punto de contacto en MentalGest.
La notificación incluirá, como mínimo: naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, posibles consecuencias y medidas adoptadas o propuestas, y punto de contacto en MentalGest.
8. Supresión y devolución de datos
A la terminación del servicio o a solicitud del responsable, MentalGest suprimirá o devolverá los datos personales tratados en su nombre, salvo conservación exigida por ley o copias de seguridad con plazos de retención limitados. El responsable puede solicitar la baja y eliminación contactando a soporte de MentalGest (mentalgest@gmail.com).
9. Integraciones de terceros conectadas por el responsable
MentalGest permite al responsable conectar, de forma opcional, servicios de terceros a través de su propia cuenta (por ejemplo, Google Calendar o Google Meet). En estos casos, MentalGest se limita a generar los enlaces o eventos a través de la API del proveedor correspondiente con las credenciales del responsable; no aloja, procesa ni accede al contenido de esas comunicaciones.
La elección del servicio externo, la idoneidad de la cuenta utilizada y la información que el profesional facilite a sus pacientes sobre ese canal son responsabilidad exclusiva del responsable como responsable del tratamiento. MentalGest no garantiza el cumplimiento normativo de canales de comunicación de terceros que queden fuera de su control técnico, y lo advierte en el punto de uso dentro de la plataforma.
La elección del servicio externo, la idoneidad de la cuenta utilizada y la información que el profesional facilite a sus pacientes sobre ese canal son responsabilidad exclusiva del responsable como responsable del tratamiento. MentalGest no garantiza el cumplimiento normativo de canales de comunicación de terceros que queden fuera de su control técnico, y lo advierte en el punto de uso dentro de la plataforma.
10. Auditorías e información
MentalGest pondrá a disposición del responsable la información razonablemente necesaria para demostrar el cumplimiento de este DPA, incluida la documentación pública de privacidad, transparencia de IA y, cuando proceda, respuestas a cuestionarios de seguridad en el marco de una relación comercial activa.
11. Transferencias internacionales
El responsable reconoce que el servicio puede implicar transferencias de datos a países distintos del suyo, en particular a proveedores en Estados Unidos, conforme a la Política de privacidad y con las garantías contractuales aplicables (cláusulas tipo, acuerdos de procesamiento de datos de proveedores u otros mecanismos reconocidos por la normativa vigente).
12. Duración
Este DPA permanece vigente mientras MentalGest trate datos personales por cuenta del responsable. Las obligaciones de confidencialidad y las derivadas de incidentes ya notificados sobreviven a la terminación en la medida que la ley lo exija.
13. Contacto
Consultas sobre este acuerdo: mentalgest@gmail.com.
