Acuerdo de Encargo de Tratamiento
Última actualización: 27 de junio de 2026
El presente Acuerdo de Encargo de Tratamiento («DPA», por sus siglas en inglés) forma parte del acuerdo entre Psychiatry Ink Ltd y el cliente que utiliza Psiquiatria.Ink cuando Psychiatry Ink Ltd trata datos personales por cuenta del cliente.
Este DPA está previsto para ser aceptado durante el registro, la configuración de la organización o la formalización de un formulario de pedido, y debe leerse junto con la Política de privacidad y las Condiciones del servicio.
1. Partes
Cliente / Responsable del tratamiento: el clínico individual, la consulta, la clínica, el hospital, la organización u otra entidad jurídica que utiliza Psiquiatria.Ink y determina los fines y medios del tratamiento de datos personales.
Encargado del tratamiento:
Psychiatry Ink Ltd
71–75 Shelton Street
Covent Garden
London, WC2H 9JQ
Reino Unido
Company number: 17275704
2. Definiciones
«Legislación de protección de datos aplicable» designa el RGPD del Reino Unido, la Data Protection Act 2018, el RGPD de la UE y cualquier otra norma de protección de datos aplicable al tratamiento derivado del uso de Psiquiatria.Ink por el cliente.
«Datos personales», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado», «violación de la seguridad de los datos personales» y «datos de categorías especiales» tienen el significado que les atribuye la legislación de protección de datos aplicable.
«Datos del cliente» designa los datos personales enviados a Psiquiatria.Ink por el cliente o por cuenta de este, incluidos la documentación clínica, los datos de la cuenta de usuario y los metadatos relacionados.
3. Funciones
Respecto de los Datos del cliente de carácter clínico y relativos a pacientes, el cliente es el responsable del tratamiento y Psychiatry Ink Ltd es el encargado del tratamiento, salvo que las partes acuerden otra cosa por escrito.
Respecto de los datos propios de cuenta, facturación, sitio web, asuntos legales y administración empresarial de Psychiatry Ink Ltd, esta puede actuar como responsable del tratamiento según se describe en la Política de privacidad.
4. Objeto y duración
El objeto es la prestación de Psiquiatria.Ink, incluidas las funciones de documentación psiquiátrica, dictado, plantillas, IA, medicación, laboratorio, flujo de trabajo, cuenta, soporte, facturación y seguridad.
El tratamiento se prolonga durante la vigencia de la suscripción, el periodo de prueba, el piloto, la cuenta o el formulario de pedido del cliente y, posteriormente, solo en la medida necesaria para la supresión, la devolución, la expiración de las copias de seguridad, el cumplimiento legal, la seguridad, la resolución de controversias o según se acuerde de otro modo.
5. Naturaleza y finalidad del tratamiento
El tratamiento puede incluir la recogida, el registro, la organización, la estructuración, el almacenamiento, la recuperación, la consulta, la utilización, la transmisión a subencargados autorizados, la generación de resultados, la supresión y la exportación.
Los fines incluyen:
- prestar el servicio Psiquiatria.Ink;
- generar, editar, resumir, dar formato, traducir u organizar documentación clínica;
- procesar dictados o transcripciones;
- gestionar las funciones de medicación, laboratorio, riesgo, plantillas y flujo de trabajo;
- proporcionar las funciones asistidas por IA seleccionadas por el usuario;
- prestar soporte y resolver problemas;
- proteger, supervisar, auditar y mejorar el servicio;
- administrar cuentas, facturación, suscripciones y créditos.
6. Categorías de interesados
Según el uso que haga el cliente, los interesados pueden incluir:
- usuarios profesionales;
- empleados, contratistas o personal del cliente;
- pacientes o usuarios de servicios documentados por el cliente;
- familiares, cuidadores, representantes legales, personal penitenciario, contactos judiciales u otros terceros mencionados en los registros clínicos;
- contactos de soporte y de facturación.
7. Categorías de datos personales
Según el uso que haga el cliente, los Datos del cliente pueden incluir:
- datos de identidad y de cuenta de los usuarios;
- datos sobre la función profesional y la organización;
- notas clínicas, historia psiquiátrica, exploración psicopatológica, diagnóstico, tratamiento, medicación, datos de laboratorio y de evaluación de riesgos;
- texto dictado, borradores generados, plantillas, correspondencia y documentos resultantes;
- metadatos como marcas de tiempo, uso de funciones, consumo de tokens, registros de auditoría y registros de acceso;
- metadatos de facturación y suscripción.
8. Datos de categorías especiales
Los Datos del cliente pueden incluir datos de salud, datos psiquiátricos, datos de medicación, datos sobre discapacidad, datos forenses o relativos a internamientos y otros datos de categorías especiales o sensibles si el cliente los introduce.
El cliente es responsable de garantizar que dispone de una base jurídica adecuada y de una condición aplicable a las categorías especiales para dicho tratamiento.
9. Instrucciones del cliente
Psychiatry Ink Ltd tratará los Datos del cliente únicamente siguiendo las instrucciones documentadas del cliente, incluidas las instrucciones del contrato principal, los ajustes del producto, el formulario de pedido, este DPA y las acciones lícitas de los usuarios dentro del servicio.
Si Psychiatry Ink Ltd considera que una instrucción infringe la legislación de protección de datos aplicable, informará al cliente, salvo que la ley lo prohíba.
10. Confidencialidad
Psychiatry Ink Ltd garantizará que las personas autorizadas a tratar los Datos del cliente estén sujetas a obligaciones de confidencialidad o a un deber legal de secreto apropiado.
11. Medidas de seguridad
Psychiatry Ink Ltd aplicará medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos del cliente frente a un tratamiento no autorizado o ilícito y frente a la pérdida, destrucción, daño, alteración o divulgación accidentales. Estas medidas incluyen las enumeradas en el Anexo 2.
12. Subencargados del tratamiento
El cliente otorga una autorización general para que Psychiatry Ink Ltd recurra a subencargados del tratamiento para prestar el servicio, con sujeción a las condiciones de este DPA.
Psychiatry Ink Ltd mantiene una lista de subencargados del tratamiento en la página de subencargados y exigirá a estos, cuando la ley lo requiera, obligaciones de protección de datos sustancialmente equivalentes a las de este DPA.
Psychiatry Ink Ltd notificará los nuevos subencargados sustanciales mediante la actualización de la página de subencargados, correo electrónico, un aviso en la aplicación u otro medio razonable. El cliente podrá oponerse por motivos razonables de protección de datos en un plazo de 30 días desde dicha notificación.
13. Transferencias internacionales
Cuando los Datos del cliente se transfieran internacionalmente, Psychiatry Ink Ltd utilizará, cuando sea necesario, garantías adecuadas, como normas de adecuación, las Cláusulas Contractuales Tipo de la UE, el International Data Transfer Agreement del Reino Unido, el Anexo del Reino Unido a las Cláusulas Contractuales Tipo de la UE u otras garantías legalmente reconocidas.
Para los clientes de la UE/EEE o los datos de la UE/EEE, las partes completarán los módulos pertinentes de las Cláusulas Contractuales Tipo cuando sea necesario.
14. Asistencia con los derechos de los interesados
Teniendo en cuenta la naturaleza del tratamiento, Psychiatry Ink Ltd prestará al cliente una asistencia razonable para responder a las solicitudes de los interesados cuando la ley lo exija y la solicitud se refiera a Datos del cliente tratados por Psychiatry Ink Ltd como encargado del tratamiento.
Si Psychiatry Ink Ltd recibe una solicitud directamente de un interesado en relación con Datos del cliente, la remitirá al cliente o indicará al solicitante que se dirija al cliente, cuando ello sea legalmente admisible y el cliente sea razonablemente identificable.
15. Asistencia en el cumplimiento
Teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, Psychiatry Ink Ltd prestará una asistencia razonable en materia de seguridad, notificación de violaciones de seguridad, evaluaciones de impacto relativas a la protección de datos, consultas previas y obligaciones de cumplimiento conexas, cuando así lo exija la legislación de protección de datos aplicable.
16. Violación de la seguridad de los datos personales
Psychiatry Ink Ltd notificará al cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a los Datos del cliente. La notificación incluirá la información disponible razonablemente necesaria para ayudar al cliente a cumplir sus obligaciones de notificación de violaciones de seguridad.
17. Supresión y devolución
A elección del cliente y con sujeción a la viabilidad técnica, las obligaciones legales de conservación, la expiración de las copias de seguridad y las obligaciones de pago, Psychiatry Ink Ltd suprimirá o devolverá los Datos del cliente tras la finalización del servicio.
Las copias de seguridad pueden persistir durante un periodo limitado hasta que se sobrescriban o eliminen conforme al calendario de conservación de copias de seguridad.
18. Derechos de auditoría e información
Psychiatry Ink Ltd pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de este DPA. Las auditorías deben ser razonables y proporcionadas, estar sujetas a confidencialidad, limitarse a los controles de protección de datos pertinentes para el servicio y no comprometer la seguridad, a otros clientes, los secretos comerciales ni la confidencialidad de terceros.
Psychiatry Ink Ltd podrá cumplir sus obligaciones de auditoría mediante documentación de seguridad, cuestionarios, informes de terceros, certificaciones o respuestas escritas estructuradas.
19. Obligaciones del cliente
El cliente debe:
- utilizar el servicio de forma lícita;
- configurar adecuadamente los ajustes de privacidad y conservación;
- evitar, en la medida de lo posible, identificadores directos innecesarios en las funciones de IA;
- garantizar que los usuarios finales estén autorizados y formados;
- mantener la seguridad de los dispositivos, las contraseñas y las claves locales;
- facilitar la información sobre privacidad exigida a pacientes o personal;
- garantizar el cumplimiento clínico, institucional y legal a nivel local;
- utilizar datos clínicos de producción únicamente cuando existan las salvaguardias contractuales y técnicas necesarias.
20. Orden de prelación
En caso de conflicto entre este DPA y las Condiciones del servicio en lo relativo al tratamiento de los Datos del cliente como encargado del tratamiento, prevalecerá este DPA. Si resultan de aplicación Cláusulas Contractuales Tipo, estas prevalecerán cuando la ley así lo exija.
Anexo 1: Detalles del tratamiento
- Objeto: prestación del software de documentación clínica y flujo de trabajo Psiquiatria.Ink.
- Duración: el periodo de suscripción, prueba, piloto, cuenta o formulario de pedido, y la fase posterior de supresión/conservación.
- Naturaleza: alojamiento, almacenamiento, recuperación, generación, transcripción, edición, soporte, seguridad, metadatos de facturación, supresión/exportación.
- Finalidad: proporcionar y proteger herramientas de documentación psiquiátrica y de flujo de trabajo.
- Interesados: usuarios profesionales, personal del cliente, pacientes, familiares, cuidadores y terceros mencionados en los registros clínicos.
- Datos personales: datos de cuenta, notas clínicas, documentación psiquiátrica, datos de medicación/laboratorio/riesgo, metadatos de usuario, metadatos de facturación.
- Datos de categorías especiales: datos de salud y datos psiquiátricos si el cliente los introduce.
- Frecuencia: continua durante el uso del servicio.
Anexo 2: Medidas técnicas y organizativas
Las medidas incluyen:
- cifrado en tránsito mediante HTTPS/TLS;
- cifrado en reposo cuando lo admitan los proveedores de infraestructura;
- una bóveda local cifrada en el lado del cliente para determinados identificadores y correspondencias, cuando esté activada;
- control de acceso basado en funciones;
- controles de autenticación y de sesión;
- registro de auditoría de los accesos y acciones pertinentes;
- separación de las organizaciones de los clientes, cuando proceda;
- funciones de minimización y desidentificación;
- controles de copia de seguridad y recuperación;
- gestión de vulnerabilidades y dependencias;
- supervisión de seguridad y un proceso de respuesta a incidentes;
- obligaciones de confidencialidad del personal o los contratistas;
- diligencia debida respecto de los subencargados del tratamiento;
- acceso restringido al entorno de producción;
- flujos de supresión/exportación cuando estén disponibles.
Anexo 3: Subencargados del tratamiento
La lista actual de subencargados del tratamiento se publica en la página de subencargados. El cliente debe revisar esa página antes de utilizar datos clínicos de producción.