BORRADOR · Base de trabajo generada para revisión profesional. Completar los campos [ENTRE CORCHETES] y validar con un abogado antes de operar.
Anexo: contrato de encargo de tratamiento (art. 28 RGPD)
Plantilla v1 · 5 de julio de 2026 · entre la clínica (responsable) y Eclia (encargada)
1. Partes y objeto
Responsable: la clínica cliente identificada en las Condiciones. Encargada: [RAZÓN SOCIAL DE ECLIA], NIF [NIF]. Objeto: el tratamiento de los datos de las clientas de la clínica necesario para prestar la plataforma de fidelización.
2. Tratamiento encomendado
Elemento
Detalle
Interesados
Clientas de la clínica y personal autorizado
Categorías de datos
Identificativos, contacto, cumpleaños, membresía, puntos, reservas y pagos; historial de tratamientos estéticos (categoría especial, art. 9)
Operaciones
Recogida, registro, conservación, consulta, comunicación al propio responsable y supresión
Duración
La del contrato de servicio, más el periodo de reversibilidad
3. Obligaciones de la encargada (Eclia)
Tratar los datos solo según instrucciones documentadas del responsable y para las finalidades del servicio.
Garantizar la confidencialidad del personal autorizado.
Aplicar las medidas del art. 32: cifrado en tránsito y en reposo, hash robusto de contraseñas, control de acceso por roles con doble factor, aislamiento por clínica, registro de auditoría, copias de seguridad con restauración puntual.
Asistir al responsable en la atención de derechos (la plataforma incorpora exportación y supresión autoservicio) y en las violaciones de seguridad, notificándolas sin dilación indebida y en un máximo de [48] horas desde que las conozca.
No subcontratar sin autorización general aquí concedida para: Cloudflare (infraestructura), Stripe (pagos), Expo (push) y Google (IA sin datos personales), informando de cambios con [15] días para oponerse.
A la terminación: devolver los datos al responsable y suprimirlos, salvo conservación legal.
4. Obligaciones del responsable (la clínica)
Disponer de base jurídica y de los textos informativos frente a sus clientas (la plataforma provee una política de privacidad base que la clínica debe completar y validar).
Atender los derechos de sus clientas y realizar, si procede, la evaluación de impacto (EIPD) al tratar datos de salud.
5. Transferencias internacionales
Los subencargados estadounidenses operan bajo el Marco de Privacidad de Datos UE-EE. UU. y/o cláusulas contractuales tipo de la Comisión Europea.