Información para responsables del tratamiento (clínicas y organizaciones)
Última actualización: 24 de mayo de 2026. Este texto complementa la política de privacidad y las condiciones de uso, con el fin de facilitar el cumplimiento del RGPD y la LOPDGDD cuando su organización utiliza Vintora para tratar datos personales (incluidos, en su caso, datos de pacientes o de salud).
1. Distribución de roles
En el marco típico de uso de Vintora por una clínica u organización profesional:
- Su organización es en principio responsable del tratamiento de los datos de pacientes, personal o terceros que introduce en la aplicación, así como de la licitud del tratamiento, la información a las personas interesadas, el registro de actividades cuando proceda, la realización de evaluaciones de impacto (EIPD) si son obligatorias y la notificación de brechas a la autoridad de control y, en su caso, a los interesados.
- El titular del servicio Vintora (identificado al final de esta página) actúa como encargado del tratamiento respecto de esos datos, tratándolos únicamente según sus instrucciones documentadas y para la prestación del servicio contratado, con sujeción al artículo 28 del RGPD.
- Respecto de datos de cuenta, facturación del SaaS y explotación general de la plataforma por el titular, este actúa como responsable o co-responsable según corresponda en cada tratamiento concreto, tal como se detalla en la política de privacidad.
Respecto de los datos relativos a pacientes que la aplicación permite registrar, el diseño del producto contempla un código interno obligatorio (referencia de la organización) y un nombre para mostrar opcional. En proveedores, solo el nombre (obligatorio) y notas internas opcionales; sin datos de contacto en la interfaz. La organización es responsable de la licitud del tratamiento y de no introducir más datos de los necesarios para sus fines.
2. Contrato de encargo del tratamiento (art. 28 RGPD)
El texto base del contrato está publicado en /legal/dpa. Si su organización necesita firma bilateral, anexo propio o ajustes jurídicos, pueden solicitar la formalización del encargo por correo. Para ello, escriban a hola@vintora-web.com indicando denominación social, persona de contacto y, si lo desean, plantilla interna a cumplimentar. El plazo de respuesta habitual se alinea con el indicado para el ejercicio de derechos en la política de privacidad, sin perjuicio de negociaciones contractuales que requieran más tiempo.
3. Subencargados y cadena de tratamiento
Para prestar el servicio es necesario recurrir a proveedores que traten datos en nombre del titular (subencargados). La siguiente tabla resume la situación a fecha de la última revisión de este documento. Las ubicaciones y mecanismos de transferencia pueden evolucionar; ante cambios sustanciales se procurará informar a las organizaciones clientes con antelación razonable para que puedan cumplir sus obligaciones de información y registro.
| Proveedor | Función en Vintora | Ubicación / transferencias |
|---|---|---|
| Supabase Inc. | Autenticación, base de datos aplicativa, almacenamiento y APIs asociadas al producto. | Infraestructura en la nube; puede incluir tratamiento en EEE o terceros países según región del proyecto. Garantías del capítulo V RGPD (p. ej. cláusulas contractuales tipo de la Comisión Europea) cuando aplique. |
| Vercel Inc. | Alojamiento y despliegue de la aplicación web (edge y funciones). | EE. UU. y otras regiones; transferencias amparadas en mecanismos conformes al RGPD cuando proceda (incl. decisiones de adecuación o cláusulas tipo). |
| Stripe, Inc. | Pagos recurrentes, portal de cliente y facturación asociada al servicio SaaS. | Tratamiento con arreglo a la política de privacidad y términos de Stripe; puede implicar transferencias fuera del EEE con garantías legales previstas. |
| Resend u otro proveedor de correo transaccional | Envío de correos operativos (bienvenida, avisos, facturación, etc.). | Según configuración del proveedor; revisar su documentación de privacidad y DPA. |
La documentación contractual tipo de la Comisión Europea sobre cláusulas contractuales para la transferencia de datos a terceros países está publicada en el Diario Oficial de la Unión Europea y en el sitio de la Comisión Europea (SCC).
4. Medidas de seguridad y apoyo en evaluaciones de impacto
Las medidas técnicas y organizativas aplicadas por el titular se describen en la política de privacidad (sección de seguridad). Si su organización debe elaborar una evaluación de impacto relativa a la protección de datos (EIPD) por el uso de Vintora, puede solicitar información complementaria razonable a hola@vintora-web.com; el titular cooperará en la medida de lo posible con la información disponible sobre el diseño del servicio, sin sustituir el análisis de riesgos propio del responsable.
5. Violaciones de seguridad y canal de contacto
Si su organización detecta un incidente que afecte a datos tratados en Vintora, puede notificarlo de inmediato a hola@vintora-web.com y, para consultas de privacidad, a hola@vintora-web.com. A su vez, si el titular, como encargado, tiene constancia de una violación que deba ser puesta en conocimiento del responsable, lo notificará sin dilación indebida para que pueda cumplir sus obligaciones frente a la AEPD y los interesados cuando proceda (arts. 33 y 34 RGPD).
6. Registros y prueba de cumplimiento
Se recomienda a las organizaciones clientes conservar evidencia de la versión de las políticas legales aceptada por sus usuarios (capturas, fecha de registro, registros de actividades de tratamiento) y de las instrucciones dadas al encargado. Vintora publica la fecha de «Última actualización» en cada documento para facilitar esa trazabilidad.
Política de privacidad · Aviso legal · Cookies · Condiciones de uso · DPA (encargo)