Acuerdo de Procesamiento de Datos (DPA)

1. Definiciones

"Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable procesada por CBCTHub en nombre del Responsable.

"Datos Sensibles de Salud" son datos relativos al estado de salud, diagnósticos, imágenes médicas DICOM y metadatos clínicos del paciente.

"Sub-encargado" es cualquier tercero contratado por CBCTHub para procesar Datos Personales en nombre del Responsable.

2. Objeto y duración del tratamiento

CBCTHub procesa Datos Personales únicamente para los fines de proveer la plataforma SaaS de visualización, almacenamiento y compartición de exámenes radiográficos dentales contratada por el Responsable.

El tratamiento durará mientras esté vigente la suscripción del Responsable. Tras la terminación, CBCTHub eliminará los Datos Personales en un plazo máximo de 30 días naturales, salvo obligación legal de retención.

3. Naturaleza y finalidad del tratamiento

CBCTHub realiza las siguientes operaciones sobre los Datos Personales:

• Recepción y almacenamiento cifrado de archivos DICOM (AES-256 at-rest)
• Visualización web y por aplicación móvil (procesamiento DICOM 100% en el navegador del usuario final; los pixels no se transmiten al servidor)
• Generación de informes en PDF a solicitud del usuario
• Compartición vía link público o privado con terceros designados por el Responsable
• Registro de actividad (audit log) para fines de seguridad y cumplimiento

4. Tipo de datos personales y categorías de interesados

Categorías de interesados: pacientes del Responsable, profesionales de la salud asociados al Responsable, derivadores y terceros designados por el Responsable.

Tipos de datos: nombre del paciente, identificador del paciente, fecha de nacimiento, motivo del estudio, imágenes DICOM y metadatos asociados, datos del profesional (nombre, email, teléfono, clínica).

5. Obligaciones del Encargado

CBCTHub se compromete a:

• Procesar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable.
• Garantizar la confidencialidad mediante acuerdos con todo personal con acceso a Datos Personales.
• Implementar medidas técnicas y organizativas apropiadas (ver sección 8).
• Asistir al Responsable en el cumplimiento de derechos de los titulares (acceso, rectificación, oposición, portabilidad, supresión).
• Notificar sin dilación indebida cualquier violación de seguridad relevante (ver sección 9).
• Cooperar con la autoridad de control que el Responsable indique cuando sea legalmente requerido.

6. Sub-encargados autorizados

El Responsable autoriza a CBCTHub a contratar los siguientes sub-encargados para la prestación del servicio:

• Supabase Inc. (Estados Unidos) — Autenticación y base de datos
• Cloudflare Inc. (global) — Almacenamiento de archivos DICOM (R2)
• Vercel Inc. (Estados Unidos) — Hosting de aplicación web
• Stripe Inc. (Estados Unidos) — Procesamiento de pagos (no recibe Datos Sensibles de Salud)
• Resend Inc. (Estados Unidos) — Envío transaccional de email

7. Transferencias internacionales

Algunos sub-encargados procesan datos en jurisdicciones fuera del país del Responsable (incluyendo Estados Unidos). Estas transferencias se realizan amparadas por: (a) Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea cuando aplica GDPR; (b) cláusulas equivalentes regionales para LGPD, Ley 21.719 y demás. Los proveedores listados mantienen certificaciones SOC 2 Type II o ISO 27001.

8. Medidas técnicas y organizativas

CBCTHub implementa las siguientes medidas:

• Cifrado de Datos Personales en reposo (AES-256) y en tránsito (TLS 1.2+)
• Control de acceso basado en roles a nivel de fila (RLS en base de datos)
• Hash criptográfico de contraseñas (bcrypt vía Supabase Auth)
• Registro de auditoría de operaciones críticas con marca de tiempo y user_id
• Procesamiento DICOM en cliente — los pixels nunca llegan al servidor de CBCTHub
• Backups encriptados con retención de 30 días
• Pruebas de seguridad y revisión de dependencias periódicas

9. Notificación de violaciones de seguridad

CBCTHub notificará al Responsable sin dilación indebida y, en cualquier caso, dentro de las 72 horas posteriores a tener conocimiento de una violación de seguridad que afecte a Datos Personales del Responsable. La notificación se enviará al email registrado del Responsable e incluirá: naturaleza del incidente, categorías y cantidades aproximadas afectadas, medidas adoptadas y contacto para más información.

Contacto de incidentes: security@cbcthub.com

10. Auditoría

CBCTHub pone a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA. El Responsable podrá solicitar una auditoría una vez al año con preaviso razonable de 30 días, o cuando una autoridad de control lo requiera.

11. Devolución y supresión

A elección del Responsable y al finalizar la prestación del servicio, CBCTHub devolverá o suprimirá todos los Datos Personales en un plazo máximo de 30 días, salvo que la legislación aplicable exija conservación por más tiempo.

12. Limitación de responsabilidad

La responsabilidad bajo este DPA se rige por los Términos de Servicio del Responsable con CBCTHub.

13. Ley aplicable y jurisdicción

Este DPA se interpretará conforme a la ley del Estado de Wyoming, Estados Unidos, sin perjuicio de las normas imperativas de protección de datos aplicables al Responsable según su jurisdicción de origen.

14. Disposiciones finales

Para una versión firmada digitalmente con los datos legales específicos del Responsable, escribir a legal@cbcthub.com indicando: razón social, RUT/CNPJ/EIN, dirección y nombre del firmante autorizado.