Acuerdo de Encargado del Tratamiento (DPA) – SkyeApp
Última actualización: 3 de julio de 2026
El presente Acuerdo de Encargado del Tratamiento (“DPA”) forma parte integrante de los Términos y Condiciones del Servicio de SkyeApp y se entiende aceptado por la clínica mediante aceptación digital expresa (checkbox + confirmación de registro).
Entre:
La Clínica, en calidad de Responsable del Tratamiento,
y
SKYE SYSTEMS LLC (SkyeApp), sociedad de responsabilidad limitada (LLC) constituida en Wyoming (Estados Unidos), n.º de registro 2026-002017903, con domicilio social en 5830 E 2nd St, Ste 7000 #36958, Casper, Wyoming 82609, USA, en calidad de Encargado del Tratamiento,
email: info@skye-app.com
ambas partes acuerdan lo siguiente:
1. Objeto
El presente acuerdo regula el tratamiento de datos personales que SkyeApp realiza por cuenta de la Clínica en el marco de la prestación del software SaaS, panel de gestión y aplicación móvil personalizada.
SkyeApp tratará los datos únicamente para prestar los servicios contratados.
2. Naturaleza y finalidad del tratamiento
SkyeApp tratará datos personales con la finalidad de:
- • gestionar citas y reservas
- • administrar agenda y operaciones diarias
- • gestionar perfiles de staff
- • almacenar historiales de clientes
- • procesar pagos y recibos
- • gestionar comunicaciones
- • enviar notificaciones
- • almacenar consentimientos informados
- • soporte técnico y mantenimiento
- • generación de informes y auditoría
3. Categorías de datos tratados
SkyeApp podrá tratar, por cuenta de la Clínica:
Datos identificativos
- nombre y apellidos
- teléfono
- idioma
- identificadores internos
Datos operativos
- citas
- historial de servicios
- pagos
- notas
- etiquetas
- preferencias
Categorías especiales de datos
Cuando la Clínica los introduzca:
- alergias
- contraindicaciones
- historial dermatológico
- embarazo / lactancia
- medicación relevante
- fotos de zonas tratadas
- consentimiento informado
Datos del personal
- nombre
- rol
- horarios
- disponibilidad
- auditoría de acciones
4. Duración
La duración del presente DPA será mensual con renovación automática, mientras se mantenga activa la suscripción de la Clínica.
El acuerdo finalizará automáticamente al cancelarse el servicio, sin perjuicio de las obligaciones de conservación y supresión previstas.
5. Obligaciones de SkyeApp
SkyeApp se compromete a:
- tratar los datos únicamente siguiendo instrucciones de la Clínica
- garantizar confidencialidad
- limitar accesos al mínimo necesario
- aplicar medidas técnicas y organizativas adecuadas
- asistir a la Clínica en el ejercicio de derechos RGPD
- notificar incidentes de seguridad sin dilación indebida
- no utilizar los datos para fines propios
6. Acceso por parte del equipo de SkyeApp
6.1 Acceso bajo solicitud (por defecto)
El acceso a datos por parte del equipo técnico se realizará, por defecto:
- solo bajo solicitud de la Clínica
- acceso temporal
- trazabilidad completa
- registro de usuario, fecha, motivo y acciones realizadas
- desactivación al finalizar
6.2 Acceso proactivo limitado (beta)
Durante fases beta o mantenimiento crítico, SkyeApp podrá acceder de forma proactiva exclusivamente para:
- • debugging
- • corrección de errores
- • recuperación de datos
- • incidencias técnicas
- • mantenimiento preventivo
Este acceso estará sujeto a:
- mínimo privilegio
- preferencia por modo lectura
- ventana temporal limitada
- registro de auditoría
- finalidad técnica legítima
7. Subencargados autorizados
La Clínica autoriza expresamente el uso de los siguientes subencargados (cada uno bajo contrato con garantías equivalentes de protección de datos):
Infraestructura
- • Vercel (UE (Dublín, dub1)): Alojamiento de la aplicación y cómputo de servidor fijado a la UE (dub1); activos estáticos vía CDN global.
- • Supabase (UE (AWS)): Base de datos, autenticación y almacenamiento de archivos (con seguridad a nivel de fila).
- • Upstash (UE): Limitación de solicitudes (solo contadores de peticiones, sin contenido personal).
Pagos
- • Stripe (EE. UU. / Global): Procesamiento seguro de pagos, tokenización de tarjetas y gestión de cobros.
Correo electrónico
- • Postmark (EE. UU.): Envío de correos transaccionales y de notificación.
Monitorización
- • Sentry (EE. UU.): Monitorización de errores y rendimiento (cargas depuradas de datos personales).
SkyeApp informará a la Clínica de cualquier alta o sustitución de subencargados con antelación suficiente para que pueda oponerse, y garantizará que ofrezcan garantías adecuadas conforme al RGPD.
7.1 Transferencias internacionales (Capítulo V)
SkyeApp está establecida en los Estados Unidos y algunos subencargados se encuentran fuera de la UE (Stripe, Postmark, Sentry). Cuando se transfieren datos personales a estos subencargados, la transferencia se ampara en una garantía de transferencia adecuada del Capítulo V del RGPD, en proceso de formalización antes del lanzamiento; el resto de los datos permanece en la UE.
8. Medidas de seguridad
SkyeApp implementará, entre otras, las siguientes medidas:
- • cifrado en tránsito
- • base de datos y cómputo alojados en la UE
- • autenticación segura
- • control de roles y permisos
- • logs de auditoría
- • backups
- • control de accesos internos
- • trazabilidad de soporte
- • revisión periódica de accesos
9. Conservación tras cancelación
Tras la cancelación del servicio:
- los datos se conservarán durante 12 meses
- finalidad: reactivación del servicio, continuidad operativa y atención de incidencias o reclamaciones
Transcurrido dicho plazo, se procederá a su eliminación segura, salvo obligación legal de conservación.
10. Exportación de datos
La Clínica podrá solicitar la exportación completa de los datos antes o durante el periodo de conservación.
La exportación podrá realizarse en formatos como:
- CSV
- Excel
11. Asistencia en derechos RGPD
SkyeApp asistirá razonablemente a la Clínica para responder solicitudes de:
- acceso
- rectificación
- supresión
- portabilidad
- oposición
- limitación
12. Violaciones de seguridad
En caso de brecha de seguridad que afecte a datos personales, SkyeApp notificará a la Clínica sin demora indebida, aportando:
- naturaleza del incidente
- categorías afectadas
- alcance estimado
- medidas correctoras
13. Aceptación digital
La aceptación del presente acuerdo se realizará mediante:
- • checkbox obligatorio
- • enlace visible al DPA
- • registro de fecha y hora
- • IP / identificador de dispositivo
- • versión del documento aceptado
Dicha aceptación tendrá plena validez contractual.
14. California / EE. UU. (CCPA/CPRA – proveedor de servicios)
Cuando —y en la medida en que— el Responsable sea una "empresa" (business) sujeta a la California Consumer Privacy Act (modificada por la CPRA) y preste servicio a consumidores de California, SkyeApp actúa como "proveedor de servicios" (service provider)respecto de la información personal que trata por cuenta del Responsable, y:
- la trata únicamente para la finalidad comercial de prestar los servicios, según las instrucciones del Responsable;
- no "vende" ni "comparte" la información personal (según se definen dichos términos en la CCPA/CPRA);
- no la conserva, usa ni divulga para ninguna finalidad distinta de prestar los servicios, ni fuera de la relación comercial directa con el Responsable;
- no la combina con información personal de otras fuentes, salvo lo permitido a un proveedor de servicios por la CCPA/CPRA;
- certifica que comprende y cumplirá estas restricciones; y
- asiste al Responsable a responder solicitudes verificables (acceso, supresión, corrección, exclusión).
La contraprestación de los Términos retribuye los servicios, no la venta ni la puesta en común de información personal.