Acuerdo de Tratamiento de Datos (DPA) — Dr.Nube
Versión: 2.0 Fecha de efectividad: 24 de abril de 2026
Este Acuerdo de Tratamiento de Datos ("DPA") forma parte de los Términos y Condiciones entre Dr.Nube LLC ("Dr.Nube" o "el Encargado") y el Profesional, consultorio, clínica o institución que usa la Plataforma ("el Responsable", o "vos"). Regula el tratamiento de datos personales — especialmente datos sensibles de salud — que el Responsable encomienda al Encargado al utilizar el servicio.
Al aceptar los Términos y Condiciones y activar funcionalidades que implican tratar datos de Pacientes, el Responsable acepta este DPA.
1. Definiciones
Los términos usados tienen el significado asignado en los Términos de Servicio y en la normativa de protección de datos aplicable. A los fines de este DPA:
- Responsable: el Profesional, consultorio, clínica o institución que determina la finalidad y los medios del tratamiento de los datos de sus Pacientes.
- Encargado: Dr.Nube LLC, que trata los datos por cuenta del Responsable.
- Subencargado: terceros que Dr.Nube contrata para asistir en la prestación del servicio (ver Anexo I).
- Titular o Interesado: la persona a quien refieren los datos (principalmente, el Paciente).
- Datos de Salud: toda información relativa a la salud física o mental del Titular.
- Incidente de Seguridad: cualquier violación de la seguridad que afecte la confidencialidad, integridad o disponibilidad de los datos personales tratados.
2. Objeto, duración y alcance
2.1 Objeto
El Encargado trata datos personales por cuenta del Responsable con el único fin de prestar los servicios contratados: almacenamiento de Historias Clínicas, gestión de turnos, notificaciones a Pacientes, integraciones, perfil público, teleconsulta, asistente conversacional, exportación de datos, facturación del servicio y soporte.
2.2 Duración
Este DPA está vigente mientras el Responsable utilice la Plataforma y por los plazos posteriores de conservación y eliminación de datos previstos en la sección 10.
2.3 Categorías de titulares
- Pacientes del Responsable.
- Personal del Responsable con acceso a la Plataforma.
- Contactos del Responsable (familiares, referentes) cuando se incluyan en la Historia Clínica.
2.4 Categorías de datos
- Datos identificativos y de contacto.
- Datos clínicos, antecedentes, diagnósticos, medicación, estudios, imágenes, notas médicas.
- Datos administrativos (turnos, cobros asociados).
- Datos de la relación médico-paciente (consentimientos, mensajes, notificaciones).
- Datos de menores, cuando el Responsable los incorpore, bajo representación legal documentada.
3. Instrucciones del Responsable
El Encargado tratará los datos únicamente siguiendo instrucciones documentadas del Responsable. Se consideran instrucciones documentadas:
a) Los Términos de Servicio y este DPA. b) Las configuraciones elegidas por el Responsable en la Plataforma (niveles de privacidad, integraciones activadas, canales de notificación, etc.). c) Las instrucciones específicas que el Responsable envíe por los canales oficiales (paneles de configuración, email a soporte@drnube.com).
Si una instrucción infringe la normativa aplicable, el Encargado lo notificará al Responsable y podrá suspender su ejecución.
4. Obligaciones del Encargado
Dr.Nube se obliga a:
- Tratar los datos solo con las finalidades descritas, sin usarlos para fines propios distintos, ni para entrenar modelos de IA salvo consentimiento expreso, separado y revocable del Responsable y el Titular.
- Mantener un registro de las actividades de tratamiento realizadas por cuenta del Responsable.
- Garantizar el deber de confidencialidad de todas las personas autorizadas a tratar los datos, incluyendo compromisos escritos con su personal.
- Implementar medidas técnicas y organizativas adecuadas (ver sección 6).
- Ayudar al Responsable a cumplir con las solicitudes de Titulares (sección 7) y con evaluaciones de impacto y consultas previas a la autoridad si aplica.
- Notificar Incidentes de Seguridad (sección 8).
- Devolver o eliminar los datos al finalizar la relación, conforme a la sección 10.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento (sección 9).
- No tratar datos fuera del ámbito del servicio, ni comunicarlos a terceros, salvo: (i) subencargados autorizados; (ii) requerimientos legales válidos; (iii) instrucción expresa del Responsable.
5. Subencargados
5.1 Autorización general
El Responsable autoriza al Encargado a contratar subencargados para la prestación del servicio. La lista actualizada está en el Anexo I y en www.drnube.com/subencargados.
5.2 Nuevos subencargados
Cualquier incorporación o sustitución de subencargados será notificada al Responsable con al menos 30 días de anticipación. Si el Responsable se opone de manera razonable y fundada, las partes negociarán de buena fe una solución. Si no hay acuerdo, el Responsable puede rescindir el servicio sin penalidad.
5.3 Obligaciones
Dr.Nube firma con cada subencargado acuerdos escritos que impongan obligaciones de protección de datos equivalentes a las de este DPA. Dr.Nube responde ante el Responsable por el incumplimiento del subencargado respecto de estas obligaciones.
6. Medidas de seguridad
Dr.Nube implementa, de manera proporcional al riesgo y al estado del arte, al menos las siguientes medidas:
6.1 Técnicas
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 o equivalente) para bases de datos y almacenamiento de archivos.
- Autenticación robusta con hashing de contraseñas (bcrypt/argon2) y doble factor disponible.
- Control de acceso basado en roles y principio de mínimo privilegio.
- Aislamiento lógico entre cuentas de Responsables (multi-tenancy seguro).
- Registros de auditoría de accesos a datos sensibles.
- Protección contra amenazas comunes (OWASP Top 10): inyección, XSS, CSRF, SSRF, etc.
- Copias de seguridad periódicas cifradas con pruebas de restauración.
- Monitoreo continuo y alertas de anomalías.
- Gestión de vulnerabilidades (actualizaciones periódicas, escaneos automatizados).
6.2 Organizativas
- Políticas internas de seguridad y confidencialidad firmadas por todo el personal.
- Procedimientos de onboarding y offboarding de personal técnico.
- Segregación de entornos (producción, staging, desarrollo).
- Plan de continuidad y recuperación ante desastres.
- Plan de respuesta a incidentes.
- Revisiones de seguridad periódicas.
6.3 Actualización
Las medidas se actualizan conforme evoluciona el estado del arte y el perfil de riesgo. El Responsable reconoce que este Anexo puede actualizarse sin degradar el nivel de protección.
7. Asistencia al Responsable frente a ejercicios de derechos
El Encargado pondrá a disposición del Responsable las herramientas necesarias para atender los derechos de los Titulares (acceso, rectificación, supresión, oposición, portabilidad, limitación):
- Interfaces en la Plataforma para editar, exportar y eliminar datos.
- Exportaciones en formatos estructurados.
- Soporte ante solicitudes específicas vía soporte@drnube.com.
Cuando un Titular se dirija directamente al Encargado ejerciendo derechos sobre sus datos clínicos, el Encargado lo derivará al Responsable sin demora y prestará asistencia técnica para la respuesta.
8. Incidentes de seguridad
8.1 Detección y notificación
Ante un Incidente de Seguridad que afecte datos tratados por cuenta del Responsable, el Encargado:
- Notificará al Responsable sin demora injustificada y, en lo posible, dentro de las 48 hs de la detección confirmada.
- Proporcionará la siguiente información (en lo que esté disponible al momento):
- Naturaleza del incidente, categorías y volumen aproximado de datos y Titulares afectados.
- Consecuencias probables.
- Medidas tomadas y propuestas para mitigar efectos.
- Actualizará al Responsable a medida que avance la investigación.
- Cooperará con el Responsable en la notificación a autoridades y Titulares cuando corresponda.
8.2 Responsabilidad de notificación a autoridades
La notificación del incidente a las autoridades y a los Titulares es obligación del Responsable, con el apoyo técnico e informativo del Encargado.
9. Auditorías
9.1 Información disponible
El Encargado pondrá a disposición del Responsable, a pedido, la documentación razonablemente necesaria para acreditar el cumplimiento de este DPA: políticas de seguridad, reportes de auditorías internas y, cuando existan, certificaciones y reportes de auditores independientes (ISO 27001, SOC 2, etc.).
9.2 Auditorías específicas
El Responsable puede auditar el cumplimiento del DPA una vez al año o ante un incidente de seguridad relevante, mediante:
a) Cuestionarios de seguridad respondidos por el Encargado. b) Reuniones remotas con el equipo técnico del Encargado. c) Auditorías en sitio por un auditor independiente aceptable para ambas partes, con preaviso de 30 días, en horario laboral, y bajo acuerdo de confidencialidad.
Los costos de la auditoría corren por cuenta del Responsable salvo que se detecte un incumplimiento material del Encargado.
10. Devolución y eliminación de datos
10.1 Durante la relación
El Responsable puede exportar los datos desde el panel de configuración en cualquier momento.
10.2 Al finalizar el servicio
Al dar de baja la cuenta, el Encargado:
- Generará un enlace de exportación activo por 30 días.
- Eliminará los datos del entorno productivo tras el plazo, salvo los que deba conservar por obligación legal.
- Mantendrá respaldos cifrados por un máximo de 180 días adicionales antes del borrado definitivo.
10.3 Conservación legal de Historia Clínica
El Encargado puede conservar, en archivo cifrado de solo lectura, las Historias Clínicas por el plazo legal mínimo aplicable al Responsable (p.ej. en Argentina, 10 años desde la última actuación conforme Ley 26.529 Art. 18). Esta conservación está bloqueada para cualquier otra finalidad. El Responsable acuerda esta medida como protección conjunta frente a requerimientos posteriores.
Si el Responsable prefiere asumir unilateralmente la custodia de sus Historias Clínicas tras la baja, debe solicitarlo expresamente y firmar un acuse de recibo; en ese caso, el Encargado entregará una exportación completa y eliminará su copia.
11. Transferencias internacionales
Se aplica la sección 7 de la Política de Privacidad. El Responsable autoriza las transferencias internacionales allí descriptas, realizadas bajo salvaguardas contractuales adecuadas con cada subencargado.
12. Responsabilidad
12.1 Dr.Nube responde por incumplimientos propios
Dr.Nube es responsable ante el Responsable por los daños causados por el incumplimiento de sus obligaciones bajo este DPA, con los límites establecidos en la sección 14.3 de los Términos de Servicio.
12.2 El Responsable responde por su rol
El Responsable mantiene indemne a Dr.Nube frente a reclamos derivados de: (i) tratamientos efectuados sin base legal válida; (ii) incumplimiento del deber de informar al Titular; (iii) instrucciones ilegales dadas al Encargado; (iv) incumplimiento de sus obligaciones como Responsable del Tratamiento; (v) configuraciones que habiliten prácticas contrarias a la ley.
13. Solicitudes de autoridades
Las solicitudes formales de autoridades dirigidas al Encargado se gestionan conforme al protocolo descrito en la sección 12 de los Términos de Servicio y sección 9 de la Política de Privacidad. El Encargado notificará al Responsable cuando corresponda y entregará únicamente la información mínima requerida.
14. Miscelánea
- Prevalencia: en caso de conflicto entre este DPA y los Términos de Servicio respecto del tratamiento de datos, prevalece este DPA.
- Modificaciones: se aplican con 30 días de notificación previa salvo cambio obligatorio por ley.
- Ley aplicable: leyes del Estado de Florida, USA, sin perjuicio de normas imperativas locales.
Anexo I — Lista de subencargados
| # | Subencargado | Función | Ubicación |
|---|---|---|---|
| 1 | DigitalOcean LLC | Infraestructura: Droplets, Spaces (object storage), MySQL Managed Database | Centros de datos de DigitalOcean según configuración |
| 2 | Stripe, Inc. | Procesamiento de pagos internacionales | USA / EU |
| 3 | Mercadopago (MercadoLibre Inc.) | Procesamiento de pagos LatAm | Argentina y región |
| 4 | Postmark / SendGrid (Twilio Inc.) | Email transaccional | USA |
| 5 | Meta Platforms, Inc. (WhatsApp Business Platform) | Notificaciones y asistente por WhatsApp | USA / Irlanda |
| 6 | Google LLC | Google Calendar, Google Meet, reCAPTCHA, Analytics (solo sitio público) | USA |
| 7 | OneSignal Inc. | Notificaciones push en apps móviles iOS / Android | USA |
| 8 | Proveedor de LLM (OpenAI / Anthropic según configuración) | Asistente conversacional | USA |
La lista actualizada se publica en www.drnube.com/subencargados.
Anexo II — Descripción del tratamiento
| Actividad | Datos tratados | Finalidad | Base de legitimación |
|---|---|---|---|
| Registro y gestión de cuenta del Profesional | Identificativos, contacto, credenciales | Prestación del servicio | Ejecución del contrato |
| Gestión de Historia Clínica | Datos de salud, identificativos del Paciente | Atención sanitaria | Consentimiento del Paciente al Profesional |
| Agenda y turnos | Identificativos del Paciente, datos del turno | Gestión asistencial | Ejecución del servicio |
| Notificaciones por WhatsApp / Email / SMS | Contacto, contenido del mensaje | Comunicación con el Paciente | Consentimiento del Paciente |
| Teleconsulta por Google Meet | Enlace de turno (no hay grabación en Dr.Nube) | Consulta remota | Consentimiento del Paciente |
| Asistente conversacional | Mensajes, teléfono, consultas de agenda | Gestión de turnos y tareas administrativas | Consentimiento del Paciente |
| Perfil público del Profesional | Datos profesionales declarados | Visibilidad pública | Decisión del Profesional |
| Pagos del servicio al Profesional | Datos de facturación, token de pago | Cobro | Ejecución del contrato |
Contacto: legal@drnube.com · privacidad@drnube.com Última actualización: 24 de abril de 2026