Contrato de Encargo del Tratamiento
Versión 1.0.0 · Última actualización: 27/06/2026
En cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD), entre la organización contratante de la plataforma Cuidae (en adelante, el Responsable) y Manadi (en adelante, el Encargado), se conviene el siguiente Contrato de Encargo del Tratamiento.
1. Objeto
El presente contrato tiene por objeto regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del servicio Cuidae —plataforma sociosanitaria para residencias y centros de personas con discapacidad— y de los servicios accesorios contratados (alojamiento, soporte técnico, mantenimiento, asistencia con inteligencia artificial).
2. Naturaleza, finalidad y duración del tratamiento
El Encargado tratará los datos personales únicamente para las finalidades de la prestación del servicio descrito en el contrato comercial principal: gestión del expediente sociosanitario, control de medicación, planificación de cuidados, comunicación con familiares, gestión del personal y cumplimiento de las obligaciones documentales aplicables.
La duración del tratamiento se extiende durante toda la vigencia del contrato comercial entre las partes, prorrogándose automáticamente en caso de renovación.
3. Categorías de interesados y de datos
El tratamiento afecta a las siguientes categorías de interesados:
- Personas usuarias del servicio asistencial del Responsable (residentes, personas atendidas).
- Familiares y tutores legales reconocidos en el expediente.
- Personal del Responsable (profesionales, dirección, administración).
Las categorías de datos tratados se detallan en la Política de Privacidad de la plataforma e incluyen, entre otras, datos identificativos y de contacto, datos de salud (Art. 9 RGPD), datos económicos y datos laborales del personal.
4. Obligaciones del Encargado
El Encargado se obliga a:
- Tratar los datos exclusivamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal en contrario.
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
- Adoptar las medidas técnicas y organizativas exigidas por el artículo 32 RGPD: cifrado en reposo y en tránsito de datos sensibles, control de acceso por roles, registro inmutable de accesos, copias de seguridad cifradas, política de contraseñas robusta y formación periódica del personal.
- No subcontratar parcial o totalmente el tratamiento sin autorización previa por escrito. Los subencargados actuales se enumeran en el §7.
- Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.
- Asistir al Responsable a garantizar el cumplimiento de los artículos 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto, consulta previa).
- Notificar al Responsable, sin dilación indebida y como muy tarde en las 24 horas siguientes a su conocimiento, cualquier brecha de seguridad relacionada con los datos personales objeto del tratamiento.
- A elección del Responsable, suprimir o devolver todos los datos al finalizar la prestación de los servicios, suprimiendo también las copias existentes salvo obligación legal de conservación.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente contrato, así como permitir y contribuir a las auditorías que el Responsable o un auditor mandatado realicen, con un preaviso razonable.
5. Obligaciones del Responsable
El Responsable se obliga a:
- Cumplir las obligaciones que le corresponden como Responsable del tratamiento conforme al RGPD y la LOPDGDD.
- Recabar el consentimiento de los interesados o de sus representantes legales cuando sea necesario, especialmente para los tratamientos accesorios (uso de fotografía, asistencia con IA, comunicaciones a terceros no obligados, redes sociales).
- Informar a los interesados sobre el tratamiento mediante la Política de Privacidad correspondiente, que incluya la condición del Encargado y de sus subencargados.
- Comunicar previamente al Encargado cualquier solicitud de derechos del interesado que requiera de su asistencia.
- No introducir en la plataforma datos de categorías especiales no necesarios para la finalidad asistencial, en aplicación del principio de minimización.
6. Medidas de seguridad
El Encargado aplica las siguientes medidas de seguridad, descritas en mayor detalle en la Política de Privacidad y en la documentación técnica de la plataforma:
- Cifrado AES-256 en reposo de DNI/NIE, NUSS/NUHSA, datos económicos y de salud sensibles, fotografías.
- Cifrado TLS 1.2 o superior en tránsito.
- Control de acceso por roles, módulos y centros (mínimo privilegio).
- Registro inmutable de accesos a datos del Art. 9 con clasificación por categoría, retenido durante 5 años.
- Política de contraseñas: mínimo 12 caracteres, complejidad mixta, comprobación frente a brechas conocidas en producción.
- Throttle y bloqueo por intentos de acceso fallidos.
- Cierre automático de sesión por inactividad.
- Copias de seguridad periódicas, cifradas y testeadas en restauración.
- Auditoría externa periódica del cumplimiento.
7. Subencargados autorizados
El Responsable autoriza expresamente al Encargado a recurrir a los siguientes subencargados, con quienes ha suscrito acuerdos que garantizan el mismo nivel de protección:
| Subencargado | Servicio | Localización | Garantías |
|---|---|---|---|
| Proveedor de hosting | Alojamiento de la infraestructura | Unión Europea | Contrato de encargo Art. 28 RGPD |
| Anthropic, PBC | Servicios de inteligencia artificial generativa (resúmenes, escáner, asistente conversacional) | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) + anonimización previa de datos identificativos |
| Proveedor de correo transaccional | Notificaciones automáticas (recordatorios, recuperación de contraseña) | Unión Europea | Contrato de encargo Art. 28 RGPD |
El Encargado notificará al Responsable con un mínimo de 30 días de antelación cualquier incorporación o sustitución de subencargados, dando al Responsable derecho de oposición motivada.
8. Transferencias internacionales
El Encargado podrá transferir datos personales a los Estados Unidos al subencargado Anthropic para el funcionamiento de las funciones de inteligencia artificial generativa. La transferencia se ampara en las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, suscritas con Anthropic. Adicionalmente, antes del envío se aplica una capa de anonimización automática que sustituye nombre, apellidos y DNI por identificadores neutros.
9. Notificación de brechas
Si el Encargado tiene conocimiento de una brecha de seguridad que afecte a los datos personales tratados por cuenta del Responsable, lo notificará al Responsable sin dilación indebida y, como máximo, en las 24 horas siguientes, facilitando al menos:
- Naturaleza de la brecha, categorías y número aproximado de interesados afectados.
- Categorías y número aproximado de registros de datos personales afectados.
- Consecuencias probables de la brecha.
- Medidas adoptadas o propuestas para poner remedio a la brecha.
El Responsable conserva la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas y, cuando proceda, a los interesados afectados.
10. Devolución o supresión al finalizar el contrato
Una vez finalizada la prestación de servicios, el Encargado, a elección del Responsable, devolverá los datos personales al Responsable en formato estructurado y de uso común, o los suprimirá de forma segura, eliminando también las copias existentes —salvo aquellas que estén obligadas legalmente a conservarse por su contenido sanitario, fiscal o laboral, en cuyo caso quedarán bloqueadas y se suprimirán al expirar el plazo legal correspondiente.
11. Limitación de responsabilidad y régimen sancionador
Sin perjuicio de las responsabilidades derivadas del RGPD y de la LOPDGDD, las partes acuerdan que la responsabilidad del Encargado se limitará a los daños directos imputables al incumplimiento de las obligaciones contractuales y reglamentarias, y dentro de los límites del contrato comercial principal. Las sanciones administrativas impuestas por la AEPD seguirán el régimen de responsabilidad personal previsto en el artículo 83 RGPD.
12. Ley aplicable y jurisdicción
El presente contrato se rige por la legislación española y europea en materia de protección de datos personales. Para la resolución de cualquier controversia derivada del mismo, las partes se someten a los tribunales del domicilio del Responsable, salvo que la normativa imperativa establezca otra cosa.
13. Aceptación
La aceptación de este contrato se realiza mediante la marcación de la casilla de aceptación durante el proceso de alta del primer Super Administrador del Responsable en la plataforma. La aceptación queda registrada con sello temporal, dirección IP y datos identificativos del firmante, en cumplimiento del artículo 28.9 RGPD que admite la firma electrónica de este contrato.
El Responsable puede solicitar en cualquier momento, a través de la pantalla "Acuerdos firmados" del módulo de Dirección, una copia firmada del DPA en su versión vigente al momento de la aceptación.