Acuerdo de Procesamiento de Datos

Última actualización: 21 de mayo de 2026

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Uso entre Clara ("Encargado", "nosotros") y usted ("Responsable", "usted") y regula el procesamiento de datos personales en relación con su uso de los servicios de Clara. Este DPA está diseñado para cumplir con los requisitos del Artículo 28 del Reglamento General de Protección de Datos (RGPD).

1. Definiciones

  • Datos Personales: Cualquier información relativa a una persona física identificada o identificable, incluyendo datos de pacientes, grabaciones de sesiones, transcripciones y notas clínicas procesadas a través de Clara.
  • Tratamiento: Cualquier operación realizada sobre Datos Personales, incluyendo recogida, registro, almacenamiento, recuperación, uso, transmisión, supresión o destrucción.
  • Responsable: Usted, el profesional de salud autorizado que determina los fines y medios del tratamiento de Datos Personales utilizando Clara.
  • Encargado: Clara, que procesa Datos Personales por cuenta del Responsable.
  • Subencargado: Cualquier tercero contratado por Clara para procesar Datos Personales por cuenta del Responsable.
  • Interesado: La persona cuyos Datos Personales son procesados, principalmente sus pacientes.
  • Violación de Datos: Una violación de seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, la comunicación no autorizada o el acceso a Datos Personales.

2. Ámbito y Roles

Usted actúa como Responsable de los datos de pacientes y es responsable de garantizar un tratamiento lícito, obtener el consentimiento del paciente y cumplir con los derechos de los interesados. Clara actúa como Encargado y solo procesará Datos Personales según sus instrucciones documentadas y según sea necesario para proporcionar los Servicios. Clara no determina los fines del tratamiento de datos de pacientes y no los utiliza para ningún otro propósito que no sea la prestación de los Servicios.

3. Objeto del Tratamiento

Este DPA regula el tratamiento de Datos Personales por parte de Clara en relación con la prestación de servicios de grabación de sesiones de terapia, transcripción y documentación clínica.

Duración: El tratamiento continúa durante el uso de los servicios de Clara y hasta que todos los Datos Personales sean eliminados o devueltos de acuerdo con este DPA.
Naturaleza del Tratamiento: Grabación de audio, transcripción automatizada, generación de notas asistida por IA, almacenamiento seguro y recuperación de datos de sesiones de terapia.
Finalidad del Tratamiento: Proporcionar servicios de documentación clínica que ayuden a los profesionales de salud a capturar, organizar y gestionar registros de sesiones de terapia.

4. Tipos de Datos Personales

Clara procesa las siguientes categorías de Datos Personales por su cuenta:

  • Información identificativa del paciente (nombres, datos de contacto) según los introduzca usted
  • Grabaciones de audio de sesiones
  • Transcripciones automatizadas de sesiones de terapia
  • Notas clínicas y resúmenes generados por IA
  • Metadatos de sesiones (fechas, horas, duración)
  • Información clínica discutida durante las sesiones
  • Identificadores de cuenta profesional necesarios para autenticar solicitudes, aplicar controles de acceso y dirigir instrucciones de tratamiento

5. Categorías de Interesados

  • Sus pacientes cuyas sesiones de terapia son grabadas
  • Usted, como profesional de salud que utiliza Clara

6. Obligaciones del Encargado (Clara)

Clara se compromete a las siguientes obligaciones:

  • Procesar Datos Personales únicamente según sus instrucciones documentadas, salvo que el Derecho de la UE o de los Estados miembros lo exija
  • Garantizar que las personas autorizadas para procesar Datos Personales estén sujetas a obligaciones de confidencialidad
  • Implementar medidas técnicas y organizativas de seguridad apropiadas según se describe en la Sección 10
  • Contratar Subencargados únicamente con su autorización previa y bajo contratos escritos que impongan obligaciones equivalentes de protección de datos
  • Asistirle en la respuesta a solicitudes de interesados para ejercer sus derechos bajo el RGPD
  • Asistirle en el cumplimiento de las obligaciones del RGPD relativas a seguridad, notificación de violaciones y evaluaciones de impacto
  • Eliminar o devolver todos los Datos Personales tras la terminación de los Servicios, a su elección, salvo que el Derecho de la UE o de los Estados miembros exija su conservación
  • Poner a disposición toda la información necesaria para demostrar el cumplimiento y permitir auditorías
  • Informarle inmediatamente si consideramos que una instrucción infringe el RGPD u otras leyes de protección de datos

7. Obligaciones del Responsable (Usted)

Como Responsable, usted es responsable de:

  • Asegurar que tiene una base jurídica válida para el tratamiento de datos de pacientes, incluyendo la obtención del consentimiento informado para grabar sesiones
  • Proporcionar a los pacientes avisos de privacidad apropiados explicando cómo se tratarán sus datos
  • Garantizar la exactitud y pertinencia de los Datos Personales proporcionados a Clara
  • Responder a las solicitudes de los interesados e informar a Clara de cualquier solicitud relevante
  • Realizar evaluaciones de impacto de protección de datos cuando sea necesario
  • Cumplir con todas las leyes de protección de datos aplicables en su uso de Clara
  • Proporcionar a Clara instrucciones de tratamiento lícitas
  • Mantener registros de actividades de tratamiento según lo exige el Artículo 30 del RGPD

8. Subencargados

Usted autoriza a Clara a contratar los siguientes Subencargados para asistir en la prestación de Servicios de tratamiento de datos de pacientes. Cada Subencargado está vinculado por obligaciones contractuales consistentes con este DPA. El proveedor de facturación de suscripciones de Clara se describe en la Política de privacidad y los Términos y no se utiliza para tratar Datos Personales de pacientes bajo este DPA.

SubencargadoFinalidadUbicación
Microsoft AzureInfraestructura cloud, alojamiento de base de datos, almacenamiento de audio, transcripción y procesamiento de IA (Azure OpenAI)Unión Europea
Google Calendar APISincronización opcional de calendario cuando la habilita el ResponsableUnión Europea / ubicaciones de tratamiento aplicables de Google bajo salvaguardas contractuales
PostHogAnalítica limitada de producto, diagnósticos del grabador y repetición enmascarada para resolución de incidenciasUnión Europea / ubicaciones de tratamiento aplicables bajo salvaguardas contractuales

Clara le notificará cualquier cambio previsto en los Subencargados, dándole la oportunidad de oponerse. Si tiene motivos razonables para oponerse, puede rescindir los Servicios afectados.

9. Transferencias Internacionales de Datos

La infraestructura principal de la aplicación de Clara y los datos del servicio se alojan dentro de la Unión Europea. Si una integración opcional o un Subencargado trata Datos Personales limitados fuera de la UE/EEE, Clara garantizará que existan salvaguardas contractuales y legales apropiadas, como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea cuando resulten aplicables.

10. Medidas de Seguridad

Clara implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

  • Cifrado de Datos Personales en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Controles de acceso y mecanismos de autenticación para prevenir acceso no autorizado
  • Evaluaciones de seguridad regulares y pruebas de vulnerabilidades
  • Prácticas de desarrollo seguro y procesos de revisión de código
  • Acuerdos de confidencialidad con empleados y formación en protección de datos
  • Procedimientos de respuesta a incidentes y planes de continuidad de negocio
  • Eliminación automática del audio de sesiones 14 días después del procesamiento
  • Separación lógica de datos de clientes
  • Copias de seguridad regulares con cifrado
  • Registro y monitorización del acceso al sistema

11. Derechos de los Interesados

Clara le asistirá en el cumplimiento de sus obligaciones de responder a solicitudes de interesados bajo el RGPD, incluyendo derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Si Clara recibe una solicitud directamente de un interesado, le notificaremos sin demora y esperaremos sus instrucciones, salvo que estemos legalmente obligados a responder directamente. Puede gestionar los datos de pacientes, incluidas las solicitudes de eliminación, a través de la interfaz de Clara.

12. Notificación de Violación de Datos Personales

En caso de una Violación de Datos Personales, Clara le notificará sin dilación indebida tras tener conocimiento de la violación. La notificación incluirá:

  • Una descripción de la naturaleza de la violación, incluyendo las categorías y el número aproximado de interesados y registros afectados
  • Datos de contacto para obtener más información
  • Una descripción de las consecuencias probables de la violación
  • Una descripción de las medidas adoptadas o propuestas para abordar la violación y mitigar sus efectos

13. Derechos de Auditoría

Clara pondrá a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y el Artículo 28 del RGPD. Previo aviso razonable, Clara permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por usted o un auditor independiente que usted designe. Las auditorías se realizarán durante el horario comercial normal, con aviso previo razonable, y no interferirán de manera irrazonable con las operaciones de Clara. Usted asumirá los costes de cualquier auditoría, salvo que la auditoría revele un incumplimiento material por parte de Clara.

14. Devolución y Eliminación de Datos

Tras la terminación de los Servicios o a su solicitud, Clara, a su elección, eliminará o devolverá todos los Datos Personales y eliminará las copias existentes, salvo que el Derecho de la UE o de los Estados miembros exija su conservación continuada. El audio de las sesiones se elimina automáticamente 14 días después del procesamiento. La devolución de datos se gestiona previa solicitud a Clara. Actualmente, Clara no ofrece una función general de exportación autoservicio de Datos Personales. Tras la eliminación de la cuenta, Clara eliminará todos los Datos Personales en un plazo de 30 días, excepto cuando la retención sea legalmente requerida.

15. Responsabilidad

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos de Uso. Clara será responsable de los daños causados por un tratamiento que no cumpla con las obligaciones del RGPD específicamente dirigidas a los encargados, o cuando Clara haya actuado fuera o en contra de sus instrucciones lícitas.

16. Vigencia y Terminación

Este DPA entra en vigor cuando comienza a utilizar los Servicios de Clara y permanece vigente hasta que todos los Datos Personales sean eliminados o devueltos. Las obligaciones de este DPA sobreviven a la terminación en la medida necesaria para cumplir su propósito. Cualquiera de las partes puede rescindir este DPA de acuerdo con las disposiciones de terminación de los Términos de Uso.

Información de Contacto

Para preguntas sobre este DPA o para ejercer sus derechos como Responsable, contacte con nuestro Delegado de Protección de Datos en [email protected].