Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 3 de mayo de 2026

Este Acuerdo de Tratamiento de Datos (“DPA”) forma parte integrante de los Términos del Servicio y la Política de Privacidad de Klinicos, y regula el tratamiento de los datos personales de pacientes y terceros que el Cliente (la clínica o profesional independiente) carga en el Servicio.

1. Partes

  • Responsable del Tratamiento (Controller):la clínica o profesional titular de la cuenta en Klinicos (en adelante, el “Cliente”).
  • Encargado del Tratamiento (Processor): Joaquín Cabrera(persona física), operando el Servicio bajo el nombre comercial “Klinicos”, con domicilio en Montevideo, Uruguay (CP 11300) y contacto en soporte@klinicos.app.

Al aceptar los Términos del Servicio y utilizar el Servicio, el Cliente y Klinicos quedan obligados por los términos de este DPA.

2. Objeto y alcance

El Cliente encomienda a Klinicos el tratamiento de los datos personales de sus pacientes, personal y terceros (los “Datos Personales”) necesarios para la prestación del Servicio. Klinicos tratará los Datos Personales únicamente en nombre y por cuenta del Cliente, y siempre conforme a las instrucciones documentadas del Cliente y a la legislación aplicable.

3. Naturaleza, finalidad y duración del tratamiento

  • Naturaleza: almacenamiento, organización, consulta, modificación, conservación, envío de comunicaciones y eliminación de datos.
  • Finalidad: prestar el Servicio de gestión integral contratado por el Cliente, en la vertical que el Cliente haya seleccionado (dental, estética, médica, veterinaria, podología, peluquería u otras soportadas).
  • Duración: mientras el Cliente mantenga la cuenta activa, más un período de hasta 30 días posteriores a la cancelación para permitir exportación o recuperación.

4. Categorías de datos y titulares

4.1 Tipos de datos

  • Datos identificativos: nombre, documento, fecha de nacimiento.
  • Datos de contacto: teléfono, email, dirección.
  • Datos sensibles de salud o equivalentes: historia clínica, notas de evolución, fotos clínicas y documentos adjuntos. La naturaleza concreta de estos datos depende del módulo vertical activado por el Cliente (por ejemplo: odontograma para dental, fichas por mascota para veterinaria, fotos antes/después para estética, mapa del pie para podología, fichas de cliente para peluquería).
  • Datos económicos: obra social, pagos, deudas.
  • Datos de agenda: turnos, profesional asignado, estado.

4.2 Categorías de titulares

  • Pacientes o clientes de la clínica (incluidos, en su caso, menores de edad).
  • Personal de la clínica (profesionales, administradores, recepción).
  • Proveedores y terceros relacionados con gastos de la clínica.

5. Obligaciones de Klinicos (Encargado)

  1. Tratar los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, salvo obligación legal en contrario.
  2. No utilizar los Datos Personales para fines propios, publicidad, venta, cesión a terceros con fines comerciales ni entrenamiento de modelos de inteligencia artificial propios.
  3. Garantizar que el personal autorizado para tratar los datos esté sujeto a deberes de confidencialidad.
  4. Implementar medidas técnicas y organizativas adecuadas de seguridad (ver sección 7).
  5. Asistir al Cliente, en la medida de lo posible, para responder solicitudes de titulares en ejercicio de sus derechos.
  6. Asistir al Cliente en el cumplimiento de sus obligaciones en materia de seguridad, notificación de brechas, evaluaciones de impacto y consultas a autoridades de control.
  7. A elección del Cliente, suprimir o devolver los Datos Personales al finalizar la prestación del Servicio, conforme a la sección 10.
  8. Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA.

6. Obligaciones del Cliente (Responsable)

  1. Tratar los Datos Personales conforme a la normativa de protección de datos aplicable en su jurisdicción.
  2. Contar con una base legal válida (consentimiento informado o equivalente) para el tratamiento de los Datos Personales, en especial los datos sensibles de salud.
  3. Informar a los titulares sobre el tratamiento de sus datos mediante una política de privacidad propia de la clínica cuando corresponda.
  4. Dar respuesta a las solicitudes de titulares en ejercicio de sus derechos (acceso, rectificación, cancelación, oposición, portabilidad).
  5. Configurar adecuadamente los roles, accesos y permisos dentro del Servicio, y revocar accesos al personal que cese en sus funciones.
  6. Mantener la confidencialidad de las credenciales y notificar a Klinicos de inmediato en caso de sospecha de uso no autorizado.

7. Medidas técnicas y organizativas de seguridad

Klinicos aplica las siguientes medidas, que podrán actualizarse para reflejar mejoras técnicas o nuevas amenazas:

  • Cifrado en tránsito mediante TLS 1.2+ y en reposo mediante AES-256.
  • Aislamiento multi-tenant estricto con Row Level Security (RLS) en PostgreSQL, garantizando que cada clínica solo accede a sus propios datos. Política RLS activa desde la primera migración del esquema.
  • Hash de contraseñas con algoritmos modernos (bcrypt/argon2), sin almacenamiento en texto plano.
  • Control de acceso granular basado en roles (owner, admin, profesional, recepción) con principio de mínimo privilegio.
  • Registro de auditoría (audit log) de acciones críticas con identificación de usuario, clínica, fecha y tipo de operación.
  • Backups automáticos y pruebas periódicas de recuperación ante desastres.
  • Monitoreo continuo de errores y eventos de seguridad (Sentry).
  • Rate limiting para prevenir abusos y ataques automatizados.
  • Proveedores de infraestructura con certificaciones de seguridad reconocidas.
  • Revisión periódica del código y aplicación de actualizaciones de seguridad.

8. Subencargados (subprocesadores)

El Cliente autoriza a Klinicos a contratar subencargados para prestar el Servicio. A la fecha, los subencargados son:

  • Supabase, Inc. — base de datos, autenticación y Storage. Región principal: UE / EE. UU.
  • Vercel Inc. — hosting de la aplicación y CDN. Región: EE. UU. / global.
  • Mercado Pago — procesamiento de pagos. Región: LATAM.
  • OpenAI, Inc. — procesamiento opcional con IA para importación de datos, notas asistidas y resúmenes. Región: EE. UU. El Cliente puede optar por no usar esta funcionalidad.
  • Resend — envío de correos transaccionales. Región: UE / EE. UU.
  • Sentry — monitoreo de errores (sin datos de pacientes, solo trazas técnicas). Región: EE. UU. / UE.
  • Upstash — rate limiting y caché. Región: EE. UU. / UE.
  • Evolution API / Twilio (opcional): envío de mensajes de WhatsApp, cuando el Cliente lo habilite.

Todos los subencargados están obligados contractualmente a garantizar un nivel de protección equivalente al establecido en este DPA. Klinicos notificará al Cliente con anticipación razonable cualquier cambio de subencargados. Si el Cliente se opone fundadamente, podrá cancelar el Servicio conforme a los Términos.

9. Transferencias internacionales

Algunos subencargados procesan datos fuera del país del Cliente. Klinicos adopta garantías adecuadas para estas transferencias, incluyendo cláusulas contractuales estándar y certificaciones de seguridad de los proveedores, alineadas con las exigencias de la normativa aplicable (Ley 18.331, LGPD, LFPDPPP, entre otras).

10. Devolución y eliminación de datos

Al finalizar la prestación del Servicio (por cancelación, terminación o no renovación), Klinicos pondrá a disposición del Cliente la posibilidad de exportar los Datos Personales en formato estructurado durante un período de hasta 30 días. Transcurrido ese plazo, los datos se eliminarán de los sistemas activos. Los backups se eliminan progresivamente conforme al ciclo de retención técnica (máximo 12 meses).

11. Notificación de incidentes de seguridad

En caso de que Klinicos tenga conocimiento de un incidente de seguridad que afecte Datos Personales del Cliente, notificará al Cliente sin dilación indebida (y, en la medida de lo posible, dentro de las 72 horas siguientes al conocimiento del incidente) mediante correo electrónico dirigido al administrador de la cuenta. La notificación incluirá:

  • Descripción de la naturaleza del incidente.
  • Categorías y cantidad aproximada de titulares y registros afectados.
  • Consecuencias probables del incidente.
  • Medidas adoptadas o propuestas para mitigar el incidente.
  • Datos de contacto para obtener información adicional.

12. Auditoría

Klinicos pondrá a disposición del Cliente, previa solicitud razonable y con preaviso de al menos 30 días, la información necesaria para demostrar el cumplimiento de este DPA (documentación de políticas de seguridad, certificaciones de subencargados, etc.). Las auditorías no podrán realizarse con mayor frecuencia que una vez al año, salvo caso de incidente de seguridad relevante, y deberán realizarse en horario laboral sin afectar la operación normal del Servicio.

13. Responsabilidad

La responsabilidad de cada parte por el incumplimiento de este DPA se rige por lo establecido en los Términos del Servicio, incluidos los límites de responsabilidad allí previstos, con los ajustes que exija la normativa aplicable en materia de protección de datos.

14. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República Oriental del Uruguay y, en lo que corresponda, por la normativa de protección de datos aplicable en la jurisdicción del Cliente. Las controversias se someterán a los tribunales competentes de Montevideo, Uruguay, sin perjuicio de los derechos inderogables del Cliente conforme a la ley local.

15. Aceptación

Este DPA se considera aceptado por el Cliente al aceptar los Términos del Servicio y utilizar el Servicio. En caso de contradicción entre este DPA y los Términos del Servicio respecto del tratamiento de datos personales, prevalecerá lo establecido en este DPA.

16. Contacto