Versión: junio 2026 · Las versiones en español e inglés de este acuerdo son las únicas vinculantes.
Este Acuerdo se celebra entre el profesional de la salud titular de la cuenta (el «Responsable» del tratamiento) y RhinoPlan, operado desde Bogotá, Colombia (el «Encargado»). Su objeto es regular el tratamiento de datos personales de pacientes que el Responsable ingresa en la plataforma, realizado por el Encargado por cuenta y bajo las instrucciones del Responsable, conforme a la Ley 1581 de 2012 y su Decreto 1377 de 2013 (Colombia) y, cuando aplique, al artículo 28 del GDPR (UE).
«Datos de Pacientes»: los datos personales y de salud que el Responsable ingresa en RhinoPlan (identificación, edad, sexo, notas clínicas, anotaciones quirúrgicas y fotografías). «Titulares»: los pacientes del Responsable. «Subencargado»: proveedor contratado por el Encargado que trata datos para prestar el servicio. Los demás términos tienen el significado de la normativa aplicable.
El Encargado realiza las operaciones necesarias para prestar el servicio: almacenamiento, organización, consulta, visualización, generación de reportes PDF y eliminación de Datos de Pacientes. La finalidad es exclusivamente la prestación del servicio RhinoPlan al Responsable. La duración coincide con la vigencia de la cuenta del Responsable.
El Encargado tratará los Datos de Pacientes únicamente conforme a las instrucciones documentadas del Responsable, que se materializan mediante el uso de las funciones de la plataforma. El Encargado no usará los Datos de Pacientes para fines propios, no los venderá ni los compartirá con fines comerciales, y no los utilizará para entrenar sistemas de inteligencia artificial. Si el Encargado considera que una instrucción infringe la normativa, informará al Responsable.
El Responsable declara y garantiza que: (a) cuenta con la base legal o autorización de los Titulares exigida por la normativa que le aplique para tratar sus datos en RhinoPlan; (b) los datos ingresados son adecuados y pertinentes para la finalidad clínica; (c) atenderá las consultas y reclamos de los Titulares como responsable del tratamiento; y (d) actúa bajo su deber de secreto profesional.
El Encargado garantiza que las personas autorizadas a tratar los Datos de Pacientes están sujetas a obligaciones de confidencialidad. El acceso del Encargado a los Datos de Pacientes se limita a lo estrictamente necesario para operar, mantener y dar soporte al servicio.
El Encargado implementa medidas técnicas y organizativas apropiadas, incluyendo: cifrado en tránsito (HTTPS/TLS) y en reposo, aislamiento de datos por usuario mediante Row Level Security, autenticación de usuarios, credenciales con privilegios mínimos, verificación de firmas en integraciones de pago y registro de eventos relevantes. Las medidas se revisan y mejoran continuamente.
El Responsable autoriza de forma general la contratación de los siguientes Subencargados: Supabase (base de datos y autenticación, sobre Amazon Web Services), Vercel (alojamiento) y Resend (correos transaccionales). Los pagos son procesados por Creem como merchant of record y no involucran Datos de Pacientes. El Encargado impondrá a los Subencargados obligaciones equivalentes a las de este Acuerdo y publicará los cambios de Subencargados en su Política de Privacidad; el Responsable podrá oponerse a un cambio cancelando su cuenta.
Los Subencargados pueden tratar datos en jurisdicciones distintas a la del Responsable. En tales casos, el Encargado se asegura de que existan garantías adecuadas (cláusulas contractuales de protección de datos u otros mecanismos reconocidos por la normativa aplicable).
El Encargado asistirá razonablemente al Responsable para: (a) atender solicitudes de los Titulares (acceso, rectificación, supresión y demás derechos), mediante las funciones de la plataforma o a solicitud; (b) cumplir obligaciones de seguridad y evaluaciones que exija la normativa; y (c) responder ante autoridades de protección de datos.
El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de seguridad que afecte Datos de Pacientes, proporcionando la información razonablemente disponible sobre la naturaleza del incidente, los datos afectados y las medidas adoptadas o propuestas.
El Responsable puede eliminar Datos de Pacientes en cualquier momento desde la plataforma y exportar sus reportes en PDF. Al terminar la relación (cierre de cuenta), el Encargado suprimirá los Datos de Pacientes de los sistemas activos sin demora injustificada; las copias de seguridad expiran conforme a los ciclos estándar de los Subencargados, permaneciendo protegidas hasta su expiración.
El Encargado pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de este Acuerdo, incluyendo la documentación y certificaciones de seguridad de sus Subencargados (por ejemplo, informes SOC 2 / ISO 27001 de la infraestructura subyacente), como medio preferente de verificación.
Este Acuerdo no constituye un Business Associate Agreement (BAA) bajo HIPAA. El servicio no debe usarse para tratar información de salud protegida (PHI) de pacientes sujetos a HIPAA hasta que RhinoPlan anuncie formalmente su disponibilidad para ese supuesto y se suscriba el BAA correspondiente.
Este Acuerdo forma parte de los Términos y Condiciones de RhinoPlan y se entiende aceptado al crear una cuenta y usar el servicio. Se rige por las leyes de la República de Colombia, sin perjuicio de las normas de protección de datos imperativas que apliquen al Responsable (como el GDPR). Consultas: contact@rhinoplan.app.