Data Processing Agreement
Versión: 1.0 — Fecha de entrada en vigor: 25 de junio de 2026
Preámbulo
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte integral del contrato de prestación del Servicio (el "Contrato") celebrado entre [Nombre legal del Cliente / Responsable], con domicilio en [domicilio del Cliente] (el "Responsable" o "Cliente"), y Korthyx (servicio operado por Osvaldo A. Morales), con domicilio en Santiago de los Caballeros, provincia Santiago, República Dominicana ("KORTHYX" o el "Encargado"). El DPA regula el Tratamiento de datos personales realizado por KORTHYX por cuenta del Responsable en el marco del Servicio. En caso de conflicto entre el DPA y el Contrato en materia de protección de datos, prevalecerá el DPA.
Cláusula 1. Definiciones
1.1. Los términos en mayúscula inicial tienen el significado que les atribuye la Parte II del Paquete Legal.
1.2. "Normativa de Protección de Datos Aplicable" significa el conjunto de leyes y reglamentos de protección de datos personales aplicables al Tratamiento conforme al Contrato, según la jurisdicción que corresponda (incluyendo, según el caso, GDPR, UK GDPR, LGPD, Ley 172-13 y demás normativa aplicable; Parte XI).
Cláusula 2. Roles de las partes
2.1. Respecto de los Datos de pacientes y demás datos personales tratados por cuenta del Cliente en el marco del Servicio, el Cliente actúa como Responsable y KORTHYX actúa como Encargado.
2.2. Respecto de los datos personales para los que KORTHYX determina los fines y medios (datos de cuenta, facturación, uso y técnicos), KORTHYX actúa como Responsable independiente, conforme a la Política de Privacidad (Parte IV); dicho tratamiento queda fuera del alcance de este DPA.
Cláusula 3. Objeto y alcance
3.1. El DPA establece las obligaciones de KORTHYX como Encargado respecto del Tratamiento de los datos personales descritos en el Anexo A.
3.2. El Tratamiento se realizará exclusivamente en el marco y para las finalidades del Servicio y del Contrato.
Cláusula 4. Instrucciones documentadas
4.1. KORTHYX tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, constituidas por el Contrato, este DPA, el uso del Servicio por el Responsable y las instrucciones adicionales que el Responsable comunique por escrito y que sean razonables y técnicamente viables.
4.2. KORTHYX informará al Responsable si, en su opinión, una instrucción infringe la Normativa de Protección de Datos Aplicable, sin obligación de realizar asesoramiento jurídico.
4.3. KORTHYX podrá tratar datos al margen de las instrucciones del Responsable únicamente cuando se lo exija el Derecho aplicable, informando de ello al Responsable cuando esté permitido.
Cláusula 5. Obligaciones del Responsable
5.1. El Responsable garantiza que cuenta con una base legal válida para el Tratamiento y que ha obtenido, cuando corresponda, el consentimiento del Paciente u otra base habilitante.
5.2. El Responsable es responsable de la licitud de sus instrucciones y del cumplimiento de sus propias obligaciones conforme a la Normativa de Protección de Datos Aplicable.
5.3. El Responsable es responsable de la exactitud, calidad y legalidad de los datos personales que ingresa o hace tratar a través del Servicio.
Cláusula 6. Confidencialidad
6.1. KORTHYX garantiza que las personas autorizadas a tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
6.2. El acceso a los datos personales se limita al personal que necesite tratarlos para cumplir el Contrato.
Cláusula 7. Seguridad
7.1. KORTHYX implementará y mantendrá medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al Anexo B y a la Política de Seguridad (Parte VII).
7.2. Al evaluar el nivel de seguridad, se tendrán en cuenta los riesgos del Tratamiento, en particular respecto de los Datos de salud (Anexo D).
Cláusula 8. Subprocesadores
8.1. El Responsable otorga a KORTHYX una autorización general para recurrir a Subprocesadores en la prestación del Servicio. Los Subprocesadores vigentes se relacionan en el Anexo C.
8.2. KORTHYX informará al Responsable de la incorporación o sustitución de Subprocesadores con antelación razonable, otorgándole la posibilidad de oponerse por motivos razonables relacionados con la protección de datos, con un preaviso de al menos 30 días, mediante notificación a legal@korthyx.com.
8.3. KORTHYX impondrá a sus Subprocesadores, mediante contrato, obligaciones de protección de datos equivalentes a las del presente DPA, y permanecerá responsable frente al Responsable del cumplimiento por parte de aquéllos.
Cláusula 9. Transferencias internacionales
9.1. KORTHYX podrá tratar datos personales en países distintos al de origen, incluso a través de Subprocesadores, conforme al Anexo C.
9.2. Cuando una transferencia internacional lo requiera, las partes adoptarán un mecanismo de legitimación válido conforme a la Normativa de Protección de Datos Aplicable (por ejemplo, decisiones de adecuación, Cláusulas Contractuales Tipo (SCCs) con el módulo y la versión que correspondan, el Addendum del Reino Unido cuando aplique, u otros mecanismos). Actualmente, el alojamiento y el procesamiento se realizan a través de subprocesadores ubicados en los Estados Unidos (Anexo C), al amparo de los acuerdos de tratamiento de datos y de los compromisos contractuales de protección de datos suscritos con cada uno de ellos.
Cláusula 10. Asistencia al Responsable
10.1. Teniendo en cuenta la naturaleza del Tratamiento y la información disponible, KORTHYX asistirá razonablemente al Responsable en el cumplimiento de sus obligaciones de seguridad, de notificación de brechas, de realización de evaluaciones de impacto (DPIA) y de consulta previa a la autoridad de control, en la medida exigida por la Normativa de Protección de Datos Aplicable.
10.2. La asistencia que exceda lo razonable o lo previsto contractualmente podrá estar sujeta a costos adicionales acordados.
Cláusula 11. Solicitudes de los titulares
11.1. KORTHYX asistirá razonablemente al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para atender las solicitudes de ejercicio de derechos de los Titulares de datos.
11.2. Si KORTHYX recibe directamente una solicitud de un Titular de datos relativa a Datos tratados por cuenta del Responsable, reenviará la solicitud al Responsable y no responderá por sí mismo, salvo instrucción o exigencia legal.
Cláusula 12. Notificación de brechas de seguridad
12.1. KORTHYX notificará al Responsable sin demora indebida tras tener conocimiento de un Incidente de seguridad que afecte a los datos personales tratados por cuenta del Responsable.
12.2. La notificación incluirá, en la medida de lo disponible: la naturaleza del Incidente, las categorías y el volumen aproximado de datos y de Titulares afectados, las consecuencias probables y las medidas adoptadas o propuestas.
12.3. KORTHYX cooperará con el Responsable y adoptará medidas razonables para mitigar los efectos del Incidente.
Cláusula 13. Auditorías
13.1. KORTHYX pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de este DPA.
13.2. El Responsable podrá verificar el cumplimiento mediante la aceptación de informes de auditoría de terceros o certificaciones (por ejemplo, SOC 2 o ISO 27001, cuando estén disponibles) y, adicionalmente, mediante auditorías sujetas a preaviso razonable, alcance proporcionado, obligaciones de confidencialidad y, salvo causa justificada, asunción de costos por el Responsable.
13.3. Las auditorías no comprometerán la seguridad ni la confidencialidad de datos de otros clientes de KORTHYX.
Cláusula 14. Eliminación o devolución de datos
14.1. A la terminación del Contrato, y a elección del Responsable, KORTHYX devolverá o eliminará los datos personales tratados por cuenta del Responsable, y eliminará las copias existentes, salvo que el Derecho aplicable exija su conservación.
14.2. La eliminación se realizará dentro del plazo razonable que se acuerde, conforme a la Política de Retención (Parte VIII), incluyendo la eliminación diferida en copias de respaldo.
Cláusula 15. Responsabilidad
15.1. La responsabilidad de las partes en relación con el Tratamiento se rige por las disposiciones de responsabilidad del Contrato, incluidas, en su caso, las limitaciones aplicables, en la medida permitida por la Normativa de Protección de Datos Aplicable.
15.2. Cada parte responde de los daños causados por su propio incumplimiento de las obligaciones que le incumben conforme a la Normativa de Protección de Datos Aplicable.
Cláusula 16. Duración
16.1. El DPA estará vigente mientras KORTHYX trate datos personales por cuenta del Responsable conforme al Contrato.
16.2. Las disposiciones que por su naturaleza deban subsistir (por ejemplo, confidencialidad y eliminación de datos) permanecerán vigentes tras la terminación.
Cláusula 17. Disposiciones varias
17.1. Orden de prelación: en materia de protección de datos, el DPA prevalece sobre el Contrato; las condiciones empresariales específicas suscritas por escrito prevalecen sobre los términos generales en lo expresamente pactado (Parte I, Artículo 12).
17.2. Ley aplicable: la prevista en el Contrato, sin perjuicio de las normas imperativas de la Normativa de Protección de Datos Aplicable.
17.3. Modificaciones: el DPA podrá actualizarse para reflejar cambios en la Normativa de Protección de Datos Aplicable o en el Servicio, conforme al mecanismo previsto en el Contrato.
ANEXOS DEL DPA
Anexo A — Detalles del Tratamiento
| Elemento | Descripción |
|---|---|
| Naturaleza del Tratamiento | Alojamiento, procesamiento, transcripción, generación de documentación de apoyo y organización de información clínica mediante el Servicio. |
| Finalidad | Prestación del Servicio al Responsable conforme al Contrato. |
| Duración | Mientras esté vigente el Contrato, más los plazos de eliminación aplicables (Parte VIII). |
| Categorías de datos personales | Datos identificativos de Pacientes; Datos clínicos y de salud; Datos de voz o audio y Transcripciones; Entradas del Usuario y Contenido Generado por IA que contengan datos personales; Metadatos asociados. |
| Categorías especiales | Datos de salud y, según la jurisdicción, datos biométricos o de voz. |
| Categorías de Titulares | Pacientes del Responsable; en su caso, profesionales y personal del Responsable. |
| Frecuencia | Continua, durante el uso del Servicio. |
Anexo B — Medidas Técnicas y Organizativas (TOMs)
Sin perjuicio del Anexo de la Parte XII y de la Parte VII, KORTHYX aplica, según corresponda: cifrado en tránsito (y en reposo cuando proceda); control de accesos bajo mínimo privilegio y autenticación; segregación lógica de datos por cliente; registros de auditoría (Logs); copias de respaldo y procedimientos de recuperación; gestión de vulnerabilidades; políticas internas de seguridad y confidencialidad del personal; y procedimientos de respuesta ante Incidentes.
Anexo C — Lista de Subprocesadores (editable)
| Subprocesador | Servicio prestado | Ubicación de Tratamiento |
|---|---|---|
| Vercel, Inc. | Alojamiento de la aplicación | Estados Unidos |
| Supabase, Inc. | Base de datos y almacenamiento | Estados Unidos |
| Anthropic, PBC | Modelos de lenguaje (generación de documentación) | Estados Unidos |
| OpenAI, L.L.C. | Transcripción de voz (Whisper) | Estados Unidos |
| Stripe, Inc. | Procesamiento de pagos | Estados Unidos |
| Resend (Plus Five Five, Inc.) | Envío de comunicaciones por correo | Estados Unidos |
KORTHYX mantendrá esta lista actualizada e informará de los cambios conforme a la Cláusula 8.
Anexo D — Datos de salud
D.1. Los Datos de salud son categorías especiales y reciben protección reforzada: medidas de seguridad apropiadas al riesgo, restricción de accesos y, cuando proceda, evaluaciones de impacto.
D.2. El Responsable garantiza contar con la base legal reforzada (por ejemplo, consentimiento explícito) que la Normativa de Protección de Datos Aplicable exija para el Tratamiento de Datos de salud.
D.3. HIPAA: cuando el Responsable sea un covered entity o business associate sujeto a HIPAA, el Tratamiento de información de salud protegida (PHI) requerirá la celebración de un Business Associate Agreement (BAA) específico, que prevalecerá sobre este Anexo en lo que corresponda.
Anexo E — Clientes empresariales
E.1. El Responsable (Organización) es responsable de la administración de Cuentas, roles y permisos de su personal (Parte III, Capítulos 26 a 29), y de la configuración apropiada del Servicio.
E.2. El Responsable es responsable de informar a sus Pacientes y de atender sus derechos en primera instancia (Parte IV, Capítulo 55), con la asistencia de KORTHYX conforme a las Cláusulas 10 y 11.
E.3. Las condiciones empresariales específicas (incluidos SLA, soporte y órdenes de servicio) se regulan en el Contrato y, en su caso, en la Parte X.