Inicio / Legal / DPA

Acuerdo de Procesamiento de Datos

Data Processing Agreement (DPA) — Establece los roles y responsabilidades entre la clínica cliente (Responsable) y Dentrisoft (Encargado) en el tratamiento de datos personales de pacientes.

📅 Versión: 1.0 🗓️ Vigente desde: 31 de marzo de 2026 ⚖️ Ley 1581 de 2012 · GDPR-compatible
RESPONSABLE del tratamiento

La Clínica Odontológica

Quien contrata Dentrisoft y determina la finalidad y medios del tratamiento de los datos de sus pacientes.

ENCARGADO del tratamiento

Dentrisoft (Enkrevolt)

Quien procesa los datos exclusivamente según las instrucciones del Responsable, sin utilizarlos para fines propios.

1 Objeto del Acuerdo

El presente Acuerdo de Procesamiento de Datos (en adelante "DPA") regula la relación entre la clínica odontológica cliente ("Responsable") y Enkrevolt - Dentrisoft ("Encargado") respecto al tratamiento de datos personales de pacientes que el Responsable almacena en la plataforma Dentrisoft, en cumplimiento del artículo 3 de la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Este DPA forma parte integral de los Términos y Condiciones de uso de Dentrisoft y es aceptado automáticamente al comenzar a usar la plataforma.

2 Obligaciones de Dentrisoft como Encargado

Dentrisoft se compromete a:

2.1 Tratar los datos personales únicamente según las instrucciones documentadas del Responsable y para las finalidades expresamente establecidas en los Términos y Condiciones.
🚫
2.2 No utilizar los datos de pacientes para finalidades propias, comerciales o publicitarias distintas a la prestación del servicio.
🔒
2.3 Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos (cifrado, control de acceso, auditoría).
🏛️
2.4 Garantizar el aislamiento de datos entre distintos clientes (arquitectura multi-tenant con Row-Level Security).
📢
2.5 Notificar al Responsable sin demora indebida (máximo 72 horas) ante cualquier incidente de seguridad que pueda afectar datos personales de pacientes.
🤝
2.6 Asistir al Responsable en el cumplimiento de sus obligaciones frente a los titulares (ejercicio de derechos ARCO).
🗑️
2.7 Suprimir o devolver los datos al Responsable a la terminación del contrato, según lo instruyado por el Responsable.
🤐
2.8 Mantener confidencialidad sobre los datos personales tratados, obligación que se extiende a su personal.
🔍
2.9 Permitir auditorías o inspecciones por parte del Responsable o su delegado, con previo aviso y durante horario hábil.

3 Obligaciones de la Clínica como Responsable

La clínica odontológica cliente se compromete a:

  • 3.1Obtener el consentimiento informado y expreso de cada paciente para el tratamiento de sus datos de salud, antes de ingresarlos en Dentrisoft, conforme al artículo 9 de la Ley 1581 de 2012.
  • 3.2Informar a los pacientes que sus datos serán almacenados en Dentrisoft, plataforma tecnológica de gestión clínica.
  • 3.3Gestionar directamente las solicitudes de derechos ARCO que reciba de sus pacientes y coordinar con Dentrisoft cuando requiera ejecutar acciones en la plataforma.
  • 3.4Garantizar que el acceso al sistema esté restringido únicamente al personal autorizado de la clínica.
  • 3.5Asegurar la exactitud y veracidad de los datos ingresados en la plataforma.
  • 3.6Cumplir con la normativa colombiana aplicable a la gestión de historia clínica (Resolución 1995 de 1999) y a los reportes RIPS.

4 Sub-encargados Autorizados

La clínica, al aceptar este DPA, autoriza a Dentrisoft a utilizar los siguientes sub-encargados para operar el servicio. Todos están sujetos a obligaciones de seguridad equivalentes:

Supabase Inc.
EE.UU. (AWS us-east-2) SOC 2 Type II

Almacenamiento y gestión de base de datos PostgreSQL en la nube

Netlify Inc.
EE.UU. SOC 2 Type II

Alojamiento y entrega del frontend web de la plataforma

Resend Inc.
EE.UU. ISO 27001

Envío de correos electrónicos transaccionales del sistema

Dentrisoft notificará al Responsable con al menos 30 días de anticipación ante cualquier cambio en los sub-encargados.

5 Gestión de Incidentes de Seguridad

Ante un incidente de seguridad que afecte datos personales de pacientes, Dentrisoft seguirá el siguiente protocolo:

Primeras 24h

Detección, contención y evaluación del impacto del incidente.

Máx. 72h

Notificación al Responsable con descripción del incidente, datos afectados, impacto estimado y medidas adoptadas.

Subsiguiente

Colaboración con el Responsable para notificar a los titulares afectados y a la SIC si corresponde.

Post-incidente

Informe final con análisis de causa raíz y medidas correctivas implementadas.

6 Transferencias Internacionales

Los datos de pacientes se almacenan en servidores en los Estados Unidos (Supabase/AWS). Esta transferencia internacional se realiza bajo las garantías exigidas por la SIC y mediante cláusulas contractuales que obligan a los sub-encargados a tratar los datos conforme a estándares equivalentes a los de la Ley 1581 de 2012. La clínica acepta estas transferencias al contratar el servicio.

7 Vigencia y Terminación

Este DPA entra en vigor al momento de la contratación del servicio y permanece vigente durante toda la relación contractual. A la terminación:

  • El Responsable tendrá 30 días para exportar o solicitar la entrega de sus datos.
  • Dentrisoft eliminará de forma segura todos los datos de pacientes del Responsable de sus sistemas de producción.
  • Los datos en copias de seguridad serán eliminados en el siguiente ciclo de rotación de backups (máximo 30 días adicionales).

Contacto para Asuntos del DPA

Enkrevolt — Dentrisoft

📧 [email protected]

📞 +57 311 521 6290

📍 Ibagué, Tolima, Colombia

¿Necesitas un DPA firmado para tu clínica?

Solicitar DPA firmado Volver al inicio
¿Necesitas mas información? 💬