Acuerdo de Tratamiento de Datos
Ultima actualizacion: mayo de 2026
El presente Acuerdo de Tratamiento de Datos ("ATD") forma parte del contrato celebrado entre usted ("Responsable del Tratamiento", "Estudio") y Belle ("Encargado del Tratamiento") para el uso de la plataforma Belle, de conformidad con el Articulo 28 del RGPD.
1. Ambito del Tratamiento
Objeto: Prestacion de servicios de gestion de citas, comunicacion con clientes y reservas en linea.
Duracion: Durante la vigencia de la suscripcion del Estudio, mas el plazo de eliminacion de 30 dias.
Naturaleza y finalidad: Almacenamiento, consulta y tratamiento de datos personales para la reserva de citas, notificaciones automatizadas y gestion del estudio.
Categorias de interesados: Clientes del estudio (personas que reservan citas), personal del estudio.
Tipos de datos personales: Nombre, numero de telefono, direccion de correo electronico, historial de citas, fecha de nacimiento (opcional).
2. Obligaciones del Encargado del Tratamiento (Art. 28.3)
2.1 Instrucciones Documentadas
El Encargado del Tratamiento tratara los datos personales unicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, incluidas las relativas a transferencias a terceros paises, salvo que este obligado por ley.
2.2 Confidencialidad
El Encargado del Tratamiento garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o estan sujetas a una obligacion legal de confidencialidad adecuada.
2.3 Medidas de Seguridad (Art. 32)
El Encargado del Tratamiento aplica medidas tecnicas y organizativas adecuadas, entre ellas:
- Hashing de contrasenas con Argon2id (64 MB de coste de memoria)
- TLS 1.3 para todos los datos en transito
- Seguridad a nivel de fila (row-level security) que aisla los datos de cada estudio en la base de datos
- Autenticacion JWT con tokens de corta duracion y tokens de actualizacion rotativos
- Content Security Policy estricta y limitacion de tasa de peticiones
- Registro de auditoria de todas las modificaciones de datos
2.4 Subencargados
El Responsable del Tratamiento otorga autorizacion general por escrito para que el Encargado del Tratamiento recurra a subencargados. El Encargado del Tratamiento informara al Responsable del Tratamiento de cualquier cambio previsto y le dara la oportunidad de oponerse. Subencargados actuales:
| Subencargado | Finalidad | Ubicacion | Garantias |
|---|---|---|---|
| Railway | Alojamiento, PostgreSQL, Redis | UE | Residencia de datos en la UE |
| Cloudflare | CDN, DNS, almacenamiento de objetos R2 | Global | Clausulas Contractuales Tipo |
| Resend | Envio de correos transaccionales | EE. UU. | Clausulas Contractuales Tipo |
| Twilio | Envio de SMS y WhatsApp | EE. UU. | Clausulas Contractuales Tipo |
Cada subencargado esta vinculado por obligaciones de proteccion de datos equivalentes a las previstas en el presente ATD.
2.5 Derechos de los Interesados
El Encargado del Tratamiento asiste al Responsable del Tratamiento en la respuesta a solicitudes de los interesados (acceso, rectificacion, supresion, portabilidad, limitacion, oposicion) proporcionando:
- Exportacion de datos de clientes (formato JSON) desde el panel de gestion
- Anonimizacion de clientes (cuando se solicita la supresion pero los registros deben conservarse)
- Exportacion completa de los datos del estudio para propietarios
2.6 Asistencia en Materia de Seguridad y Violaciones de Datos
El Encargado del Tratamiento asiste al Responsable del Tratamiento en el cumplimiento de las obligaciones previstas en los Articulos 32 a 36, incluida la notificacion de violaciones de datos. El Encargado del Tratamiento notificara al Responsable del Tratamiento sin dilacion indebida tras tener conocimiento de una violacion de datos personales.
2.7 Supresion y Devolucion
Al finalizar el servicio, el Encargado del Tratamiento eliminara todos los datos personales en un plazo de 30 dias (periodo de carencia para la eliminacion), salvo que la ley exija su conservacion. El Responsable del Tratamiento podra exportar todos los datos antes de iniciar la eliminacion.
2.8 Auditoria
El Encargado del Tratamiento pone a disposicion del Responsable del Tratamiento toda la informacion necesaria para demostrar el cumplimiento del Articulo 28 y permite la realizacion de auditorias por parte del Responsable del Tratamiento o de un auditor designado por este. El Encargado del Tratamiento informara inmediatamente al Responsable del Tratamiento si una instruccion infringe el RGPD.
3. Obligaciones del Responsable del Tratamiento
- Garantizar la existencia de una base juridica valida para todo el tratamiento
- Obtener los consentimientos necesarios de los interesados cuando sea requerido
- Facilitar instrucciones de tratamiento conformes con el RGPD
- Informar al Encargado del Tratamiento sobre cualquier requisito de evaluacion de impacto relativa a la proteccion de datos
4. Legislacion Aplicable
El presente ATD se rige por la legislacion portuguesa y el RGPD. La autoridad de control competente es la CNPD (Comissao Nacional de Protecao de Dados). Si su estudio esta establecido en Espana, tambien puede dirigirse a la AEPD (Agencia Espanola de Proteccion de Datos).