Acuerdo de Encargado de Tratamiento (DPA) — Iatra
Última actualización: 2026-06-22
Este documento describe los términos en los que Iatra SAS (Responsable de Tratamiento) procesa datos personales en nombre de sus usuarios y los Encargados (subprocesadores) que utiliza.
1. Naturaleza del tratamiento
Iatra trata datos personales y datos de salud (categoría especial Art. 9 RGPD) con la única finalidad de generar reportes de orientación clínica solicitados por el usuario.
2. Lista de subprocesadores autorizados
| Subprocesador | Servicio | Datos tratados | Localización | DPA |
|---|---|---|---|---|
| Google Cloud EMEA Limited | Hosting (Cloud Run), Almacenamiento (GCS), IA (Vertex AI Gemini), Auth (Cloud Identity) | Todos los datos del usuario incluyendo datos de salud | europe-west1 (Bélgica) | https://cloud.google.com/terms/data-processing-addendum |
| Stripe Payments Europe Limited | Procesamiento de pagos | Datos de tarjeta + identificación del pagador | UE + transferencia US con SCC | https://stripe.com/legal/dpa |
| Vercel Inc. | CDN frontend (sin datos de salud) | IPs, navegador, contenido estático | Edge global | https://vercel.com/legal/dpa |
Iatra NO comparte datos de salud con ningún otro tercero salvo los listados arriba, y siempre con DPA firmado conforme a Art. 28 RGPD.
3. Obligaciones de los subprocesadores
Cada subprocesador cumple, según contrato con Iatra:
- Confidencialidad: personal con compromiso de confidencialidad
- Seguridad (Art. 32 RGPD): medidas técnicas y organizativas apropiadas
- Asistencia al Responsable para responder solicitudes de ejercicio de derechos
- Notificación de violaciones a Iatra sin demora indebida (≤72h)
- Auditoría: derecho de Iatra de auditar prácticas
- Eliminación o devolución de los datos al término del servicio
4. Transferencias internacionales
Las transferencias fuera del Espacio Económico Europeo (EEE) se realizan únicamente:
- A países con decisión de adecuación de la Comisión Europea, o
- Bajo Cláusulas Contractuales Tipo (SCC Decisión 2021/914) con análisis de impacto de transferencia (TIA) realizado
Actualmente, todos los datos de salud permanecen en territorio UE (Bélgica - europe-west1).
5. Información a los usuarios
La identidad de los subprocesadores y su rol está publicada en esta página y en la Política de Privacidad. Cambios en la lista se notifican con 30 días de antelación a los usuarios afectados, con derecho a oposición.
6. Contacto
- General: hola@iatra.health
- DPO: dpo@iatra.health (Patrice Lannoy)
Versión: 1.0