Acuerdo de Encargado del Tratamiento (DPA) – SkyeApp

Última actualización: 30 de marzo de 2026

El presente Acuerdo de Encargado del Tratamiento (“DPA”) forma parte integrante de los Términos y Condiciones del Servicio de SkyeApp y se entiende aceptado por la clínica mediante aceptación digital expresa (checkbox + confirmación de registro).

Entre:
La Clínica, en calidad de Responsable del Tratamiento,

y
SkyeApp, en calidad de Encargado del Tratamiento,
email: info@skye-app.com

ambas partes acuerdan lo siguiente:

1. Objeto

El presente acuerdo regula el tratamiento de datos personales que SkyeApp realiza por cuenta de la Clínica en el marco de la prestación del software SaaS, panel de gestión y aplicación móvil personalizada.

SkyeApp tratará los datos únicamente para prestar los servicios contratados.

2. Naturaleza y finalidad del tratamiento

SkyeApp tratará datos personales con la finalidad de:

  • • gestionar citas y reservas
  • • administrar agenda y operaciones diarias
  • • gestionar perfiles de staff
  • • almacenar historiales de clientas
  • • procesar pagos y recibos
  • • gestionar comunicaciones
  • • enviar notificaciones
  • • almacenar consentimientos informados
  • • soporte técnico y mantenimiento
  • • generación de informes y auditoría

3. Categorías de datos tratados

SkyeApp podrá tratar, por cuenta de la Clínica:

Datos identificativos

  • nombre y apellidos
  • teléfono
  • email
  • idioma
  • identificadores internos

Datos operativos

  • citas
  • historial de servicios
  • pagos
  • notas
  • etiquetas
  • preferencias

Categorías especiales de datos

Cuando la Clínica los introduzca:

  • alergias
  • contraindicaciones
  • historial dermatológico
  • embarazo / lactancia
  • medicación relevante
  • fotos de zonas tratadas
  • consentimiento informado

Datos del personal

  • nombre
  • email
  • rol
  • horarios
  • disponibilidad
  • auditoría de acciones

4. Duración

La duración del presente DPA será mensual con renovación automática, mientras se mantenga activa la suscripción de la Clínica.

El acuerdo finalizará automáticamente al cancelarse el servicio, sin perjuicio de las obligaciones de conservación y supresión previstas.

5. Obligaciones de SkyeApp

SkyeApp se compromete a:

  • tratar los datos únicamente siguiendo instrucciones de la Clínica
  • garantizar confidencialidad
  • limitar accesos al mínimo necesario
  • aplicar medidas técnicas y organizativas adecuadas
  • asistir a la Clínica en el ejercicio de derechos RGPD
  • notificar incidentes de seguridad sin dilación indebida
  • no utilizar los datos para fines propios

6. Acceso por parte del equipo de SkyeApp

6.1 Acceso bajo solicitud (por defecto)

El acceso a datos por parte del equipo técnico se realizará, por defecto:

  • solo bajo solicitud de la Clínica
  • acceso temporal
  • trazabilidad completa
  • registro de usuario, fecha, motivo y acciones realizadas
  • desactivación al finalizar

6.2 Acceso proactivo limitado (beta)

Durante fases beta o mantenimiento crítico, SkyeApp podrá acceder de forma proactiva exclusivamente para:

  • • debugging
  • • corrección de errores
  • • recuperación de datos
  • • incidencias técnicas
  • • mantenimiento preventivo

Este acceso estará sujeto a:

  • mínimo privilegio
  • preferencia por modo lectura
  • ventana temporal limitada
  • registro de auditoría
  • finalidad técnica legítima

7. Subencargados autorizados

La Clínica autoriza expresamente el uso de los siguientes subencargados:

Infraestructura

  • • Supabase (UE)
  • • Vercel

Pagos

  • • Stripe

Comunicaciones

  • • Resend / SendGrid
  • • Twilio
  • • Meta WhatsApp Cloud API

Notificaciones push

  • • Firebase Cloud Messaging
  • • Apple Push Notification service

Analítica y marketing

  • • Google Analytics
  • • Meta Pixel

Monitorización

  • • Sentry

Soporte

  • • Intercom / Crisp / Zendesk

SkyeApp garantizará que dichos proveedores ofrezcan garantías adecuadas conforme al RGPD.

8. Medidas de seguridad

SkyeApp implementará, entre otras, las siguientes medidas:

  • • cifrado en tránsito
  • • almacenamiento en región UE
  • • autenticación segura
  • • control de roles y permisos
  • • logs de auditoría
  • • backups
  • • control de accesos internos
  • • trazabilidad de soporte
  • • revisión periódica de accesos

9. Conservación tras cancelación

Tras la cancelación del servicio:

  • los datos se conservarán durante 12 meses
  • finalidad: reactivación del servicio, continuidad operativa y atención de incidencias o reclamaciones

Transcurrido dicho plazo, se procederá a su eliminación segura, salvo obligación legal de conservación.

10. Exportación de datos

La Clínica podrá solicitar la exportación completa de los datos antes o durante el periodo de conservación.

La exportación podrá realizarse en formatos como:

  • CSV
  • Excel
  • PDF

11. Asistencia en derechos RGPD

SkyeApp asistirá razonablemente a la Clínica para responder solicitudes de:

  • acceso
  • rectificación
  • supresión
  • portabilidad
  • oposición
  • limitación

12. Violaciones de seguridad

En caso de brecha de seguridad que afecte a datos personales, SkyeApp notificará a la Clínica sin demora indebida, aportando:

  • naturaleza del incidente
  • categorías afectadas
  • alcance estimado
  • medidas correctoras

13. Aceptación digital

La aceptación del presente acuerdo se realizará mediante:

  • • checkbox obligatorio
  • • enlace visible al DPA
  • • registro de fecha y hora
  • • IP / identificador de dispositivo
  • • versión del documento aceptado

Dicha aceptación tendrá plena validez contractual.