Contrato de Encargado del Tratamiento (DPA)

0. Naturaleza de este documento y aceptación

El presente Contrato de Encargado del Tratamiento (en adelante, «DPA», del inglés Data Processing Agreement) regula la relación entre el médico usuario de la plataforma Cotevy (en adelante, el «Responsable») y la entidad operadora de Cotevy (en adelante, el «Encargado» o «Cotevy»), en su condición de encargada del tratamiento de los datos personales que el Responsable introduce o gestiona a través del servicio. Este DPA se firma en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y del artículo 33 de la Ley Orgánica 3/2018 (LOPDGDD).

El DPA forma parte integrante de los Términos y Condiciones de Uso de Cotevy y se complementa con la Política de Privacidad. Al registrarte y usar la plataforma, aceptas su contenido. La versión vigente está siempre disponible en esta URL pública y la versión que aceptaste al registrarte queda registrada en tu cuenta.

Si en algún momento el Responsable desea una copia con sello y firma digital de Cotevy a efectos contractuales formales, puede solicitarla escribiendo a info@cotevy.com.

1. Definiciones

A los efectos de este DPA se entenderá por:

• Datos personales: cualquier información sobre persona física identificada o identificable, conforme al art. 4.1 RGPD.
• Datos de pacientes: el subconjunto de datos personales relativos a los pacientes del Responsable que éste trata a través de la plataforma. Incluyen datos de salud (categoría especial del art. 9 RGPD) en la medida en que reflejan actividad sanitaria.
• Tratamiento: cualquier operación realizada sobre datos personales, según el art. 4.2 RGPD.
• Responsable del tratamiento: el médico usuario que determina los fines y medios del tratamiento de los datos de sus pacientes, conforme al art. 4.7 RGPD.
• Encargado del tratamiento: Cotevy, que trata datos personales por cuenta del Responsable, conforme al art. 4.8 RGPD.
• Subencargado: tercero al que Cotevy subcontrata parte del tratamiento (alojamiento, procesamiento OCR, envío de correo, monitorización, etc.).
• Brecha de seguridad: violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos, conforme al art. 4.12 RGPD.

2. Objeto del tratamiento

El Responsable encarga a Cotevy el tratamiento de los datos personales de sus pacientes a los exclusivos efectos de:

• Permitir el registro, edición, búsqueda y consulta de los actos médicos realizados por el Responsable.
• Extraer datos identificativos del paciente y del episodio a partir de la fotografía de la etiqueta hospitalaria mediante reconocimiento óptico (OCR).
• Realizar el cotejo entre los actos registrados por el Responsable y las liquidaciones recibidas del hospital, detectando cobros pendientes, importes desviados y posibles duplicados.
• Gestionar reclamaciones derivadas del cotejo (apertura, evolución, resolución, cancelación) y mantener su histórico.
• Mantener el catálogo del Responsable (hospitales, parsers OCR, grupos, procedimientos, baremos, aseguradoras).
• Sincronización local-first para permitir el uso offline de la aplicación en el dispositivo del Responsable.
• Cualquier funcionalidad accesoria que sirva a los fines anteriores (auditoría de operaciones sensibles, exportación de datos, anonimización al ejercer derechos).

Cotevy no tratará los datos personales del paciente con ninguna finalidad distinta a la indicada. En particular, no usará los datos para publicidad, perfilado comercial, venta a terceros, ni los cederá fuera de las personas y subencargados expresamente autorizados en este DPA y en la Política de Privacidad.

3. Duración

Este DPA está en vigor mientras el Responsable mantenga una cuenta activa en Cotevy. La terminación se produce automáticamente al eliminar la cuenta. Las obligaciones de confidencialidad, de devolución/destrucción de datos y las que por su naturaleza deban subsistir más allá del fin del servicio se mantienen tras la terminación.

4. Naturaleza y categorías de datos tratados

Cotevy trata los siguientes tipos de datos por cuenta del Responsable:

• Datos identificativos del paciente: número de historia clínica (NIP), nombre y apellidos, fecha de nacimiento.
• Datos de la asistencia: número de episodio, fecha del acto, tipo de ingreso, hospital, tipo de anestesia, reintervención, observaciones.
• Datos de la aseguradora: aseguradora o garante, número de tarjeta sanitaria cuando aplique.
• Datos económicos derivados del cotejo: importe esperado, importe cobrado, estado del cobro, antigüedad de la reclamación.
• Imagen de la etiqueta hospitalaria capturada para el OCR (eliminada automáticamente a los sesenta días).

Las categorías de interesados son pacientes del Responsable a los que éste ha prestado o presta asistencia sanitaria. Cotevy no trata datos de personas distintas a los pacientes del Responsable y al propio Responsable como usuario del servicio.

5. Instrucciones del Responsable

Cotevy tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, que están constituidas por:

• El presente DPA.
• Los Términos y Condiciones de Uso.
• La Política de Privacidad.
• Las instrucciones implícitas en el uso normal de las funcionalidades de la plataforma (al pulsar «Reclamar», «Eliminar», «Exportar», etc., el Responsable está instruyendo el tratamiento correspondiente).
• Instrucciones específicas que el Responsable comunique por escrito a info@cotevy.com.

Si Cotevy considera que una instrucción del Responsable infringe la normativa de protección de datos, lo notificará por escrito sin dilación indebida. Cotevy podrá suspender la ejecución de la instrucción hasta su aclaración.

6. Obligaciones del Encargado

Cotevy se compromete a:

• Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable.
• Garantizar que las personas autorizadas para tratar los datos se han comprometido por escrito o por obligación legal a respetar la confidencialidad.
• Implantar y mantener las medidas técnicas y organizativas apropiadas previstas en el Anexo 2 de este DPA.
• Asistir al Responsable, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, en la atención de las solicitudes que los pacientes puedan dirigirle para ejercer sus derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad).
• Asistir al Responsable en la garantía del cumplimiento de las obligaciones de los artículos 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto, consulta previa).
• Eliminar o devolver al Responsable, a su elección, los datos personales una vez finalizada la prestación del servicio, conforme a lo previsto en la cláusula 11 (Devolución o destrucción).
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitir auditorías conforme a la cláusula 10.

7. Medidas técnicas y organizativas de seguridad

Cotevy implanta las medidas detalladas en el Anexo 2. Las medidas se revisan y actualizan periódicamente. El Responsable reconoce que las medidas son proporcionadas al riesgo del tratamiento descrito en este DPA y suficientes para garantizar un nivel de seguridad adecuado conforme al art. 32 RGPD.

Cotevy podrá modificar las medidas siempre que el nuevo conjunto ofrezca un nivel de protección equivalente o superior. Los cambios sustanciales se reflejarán en la versión actualizada del Anexo 2 y se notificarán al Responsable.

8. Subencargados

El Responsable autoriza con carácter general a Cotevy a contratar a los subencargados listados en el Anexo 1, en las condiciones allí descritas. Cotevy mantiene esa lista actualizada y notificará al Responsable cualquier alta o sustitución de subencargados con una antelación mínima de treinta (30) días antes de que el cambio sea efectivo, por correo electrónico o mediante aviso en la plataforma.

Durante ese plazo de preaviso, el Responsable podrá objetar de forma razonada el nuevo subencargado. Si la objeción es fundada y no resulta posible reorganizar la prestación, el Responsable tendrá derecho a resolver el servicio sin penalización, conservando el derecho a obtener una copia de sus datos en el formato previsto en la cláusula 11.

Cotevy impone a cada subencargado, mediante el correspondiente contrato, las mismas obligaciones de protección de datos previstas en este DPA, en particular las relativas a la seguridad y la confidencialidad.

9. Brechas de seguridad

Cotevy notificará al Responsable cualquier brecha de seguridad de datos personales sin dilación indebida y, en cualquier caso, dentro de las 24 horas siguientes a su detección, mediante correo electrónico al email asociado a la cuenta del Responsable y mediante aviso en la plataforma.

La notificación incluirá, en la medida de lo posible:

• La naturaleza de la brecha, las categorías y el número aproximado de interesados y registros afectados.
• El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto donde pueda obtenerse información.
• Las posibles consecuencias de la brecha.
• Las medidas adoptadas o propuestas para poner remedio a la brecha, incluyendo, si procede, medidas para mitigar los posibles efectos negativos.

La notificación temprana permite al Responsable cumplir con su obligación de notificar a la Agencia Española de Protección de Datos en el plazo de 72 horas previsto en el art. 33 RGPD. Cotevy asistirá al Responsable en la elaboración del comunicado, si éste lo solicita.

10. Auditoría

El Responsable tiene derecho a verificar el cumplimiento por parte de Cotevy de las obligaciones de este DPA. La verificación se podrá realizar mediante:

• Información proporcionada por Cotevy a solicitud del Responsable (cuestionarios, documentación técnica, informes de seguridad).
• Auditorías presenciales o remotas con una antelación mínima de treinta días, durante horario laboral, sin interrumpir la operación normal del servicio y siempre bajo deber de confidencialidad. Cotevy podrá repercutir al Responsable el coste razonable de las auditorías presenciales.
• Resultados de auditorías efectuadas por terceros independientes o por entidades de certificación a Cotevy o a sus subencargados.

Cotevy informará sin dilación al Responsable si considera que una instrucción de auditoría infringe la normativa de protección de datos o el secreto comercial de la actividad.

11. Devolución o destrucción de datos

A la terminación de la prestación del servicio, el Responsable dispone de dos vías:

• Descarga directa antes de la eliminación: desde la sección «Mi perfil → Descargar mi historial completo» el Responsable puede obtener un archivo ZIP con todos sus datos en formato estructurado (Excel, CSV y JSON), apto para su conservación o portabilidad a otro responsable.
• Eliminación inmediata mediante el flujo automatizado: desde la sección «Mi perfil → Eliminar mi cuenta y mis datos». El procedimiento, detallado en la sección 6.bis de la Política de Privacidad, anonimiza irreversiblemente los actos sanitarios para preservar el soporte documental que la Ley 41/2002 y la normativa fiscal obligan al Responsable a conservar, y elimina inmediatamente todos los datos no sometidos a retención legal.

Los datos profesionales mínimos del Responsable (nombre, email, colegiado, especialidad) se conservan en una tabla aislada durante seis años por obligación contable de Cotevy (Ley General Tributaria art. 66 y Código de Comercio art. 30) y se eliminan automáticamente al cumplirse ese plazo.

A petición escrita del Responsable, Cotevy puede emitir un certificado de eliminación.

12. Confidencialidad

Cotevy garantiza que las personas con acceso a los datos personales tratados están sujetas a obligaciones de confidencialidad de duración indefinida que subsisten tras la finalización de la relación contractual o laboral.

13. Asistencia en derechos de los pacientes

Cuando un paciente del Responsable ejerza un derecho frente al Responsable que requiera la colaboración de Cotevy (por ejemplo, obtener una copia de todos los datos del paciente o suprimir un registro concreto), Cotevy asistirá al Responsable en la respuesta dentro de plazos razonables. La asistencia incluye la consulta directa de los registros, la exportación selectiva y, en su caso, la anonimización o eliminación específica.

La atención de derechos de pacientes es responsabilidad última del Responsable. Cotevy actúa como apoyo técnico y no responde directamente a los pacientes salvo que el Responsable lo solicite expresamente por escrito.

14. Transferencias internacionales

La infraestructura principal de Cotevy se encuentra en la Unión Europea (Frankfurt, Irlanda). Para determinadas funcionalidades accesorias (alojamiento de la aplicación, envío de correos transaccionales, monitorización de salud), parte del tratamiento se realiza por subencargados radicados en Estados Unidos, que están adheridos al EU-US Data Privacy Framework como mecanismo de garantía adecuada conforme al art. 46 RGPD.

Las transferencias y los mecanismos de garantía aplicables a cada subencargado se detallan en el Anexo 1.

15. Responsabilidad

Cada parte responde de las infracciones del RGPD y de la normativa aplicable en las que incurra por su propia conducta. Si el Responsable es sancionado por una infracción imputable directa y exclusivamente a Cotevy como Encargado, Cotevy le mantendrá indemne en los términos previstos en los Términos y Condiciones de Uso.

16. Modificaciones

Cotevy podrá actualizar este DPA para reflejar cambios en la normativa o en el funcionamiento del servicio. Los cambios sustanciales se notificarán por correo electrónico al Responsable y requerirán su aceptación expresa para continuar usando el servicio. Los cambios formales y no sustanciales se publicarán con su número de versión y fecha en esta misma URL.

La versión aceptada por el Responsable en cada momento queda registrada en su cuenta con sello temporal.

17. Ley aplicable y fuero

Este DPA se rige por el Derecho español y, en lo no previsto en él, por el Reglamento General de Protección de Datos (UE) 2016/679 y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Cualquier controversia relativa a su interpretación, cumplimiento o ejecución se someterá a los Juzgados y Tribunales que correspondan conforme a la ley aplicable.

Anexo 1 — Subencargados autorizados

La siguiente lista refleja los subencargados utilizados por Cotevy en la fecha de última actualización de este DPA. La versión más reciente se mantiene también en la sección 7 de la Política de Privacidad.

Anexo 2 — Medidas técnicas y organizativas

Cotevy aplica las siguientes medidas para proteger los datos personales tratados. La lista es de máximos a la fecha de última actualización y se mantiene también en la sección 10 de la Política de Privacidad, que es donde se reflejan las actualizaciones operativas.

Cifrado

• Cifrado en tránsito con TLS 1.3.
• Cifrado en reposo de los campos sensibles del paciente (nombre y número de tarjeta sanitaria) con AES-256-GCM. El descifrado ocurre exclusivamente en memoria durante la atención de una petición autorizada y nunca se persiste en disco ni en logs.
• Contraseñas almacenadas con bcrypt.

Control de acceso

• Aislamiento estricto por médico mediante Row-Level Security en base de datos: cada usuario accede únicamente a los registros cuya autoría o equipo le pertenece.
• Sesiones con cierre automático por inactividad (30 min) y por cierre del navegador.
• Acceso operativo de personal de Cotevy a la base de datos restringido a un número reducido de personas mediante autenticación multifactor.

Minimización de datos

• Búsqueda de pacientes diseñada para no propagar datos personales en URLs: el texto viaja en el cuerpo de la petición, no como parámetro.
• Eliminación automática de metadatos EXIF de las fotografías de etiquetas subidas.
• Verificación del tipo de archivo por su contenido binario, no solo por la extensión declarada.

Trazabilidad y registro de actividad

• Registro de auditoría de operaciones sensibles (exportaciones, reclamaciones, eliminaciones, cambios de configuración) accesible por el propio Responsable desde su cuenta.
• Almacenamiento de la dirección IP del Responsable en formato hasheado (SHA-256), no en claro.
• Conservación del registro durante un año mínimo como evidencia técnica frente a brechas (art. 32 RGPD).

Resiliencia, continuidad y recuperación

• Copias de seguridad diarias automatizadas de la base de datos.
• Procedimiento documentado de restauración y prueba periódica de recuperación.
• Arquitectura local-first que permite continuar la operación esencial sin conexión a internet (sincronización al volver la conexión).
• Monitorización continua de errores y de disponibilidad con notificación automática al equipo técnico.

Procedimientos organizativos

• Compromiso de confidencialidad firmado por todas las personas con acceso a los datos.
• Protocolo escrito de gestión de brechas de seguridad con detección, contención, evaluación, notificación y revisión post-incidente.
• Política de retención y supresión con eliminación automática programada para datos cuyo plazo de conservación legal vence.
• Revisión periódica de las medidas frente al estado de la técnica y al riesgo del tratamiento.

Contacto

Cualquier comunicación relativa a este DPA puede dirigirse a info@cotevy.com o, en materia específica de protección de datos, al Delegado de Protección de Datos en la misma dirección hasta la designación definitiva del DPO, momento en el que se publicará un correo dedicado.