CONTRATO DE PRESTACIÓN DE SERVICIOS DE SOFTWARE (SaaS)

Y ENCARGO DE TRATAMIENTO DE DATOS

En Madrid, a 4 de julio de 2026.

REUNIDOS:

De una parte, Jonathan Alonso Lebreton, con NIF 02659784-H, y domicilio en Calle Marmolina 16, 1.º F, Madrid (en adelante, el PROVEEDOR o el ENCARGADO).

De otra parte, [Nombre del Dentista o Clínica], con NIF/CIF [Número], y domicilio en [Dirección] (en adelante, el CLIENTE o el RESPONSABLE).

Ambas partes se reconocen mutua capacidad legal y acuerdan el presente contrato en base a las siguientes:


CLÁUSULA 1: OBJETO Y PROPIEDAD INTELECTUAL

El PROVEEDOR concede al CLIENTE una licencia de uso no exclusiva, intransferible y temporal de la aplicación informática de gestión de clínicas dentales LumenDent App (en adelante, la «Plataforma»).

Todos los derechos de propiedad intelectual, código fuente, diseños, interfaces y actualizaciones de la Plataforma pertenecen exclusivamente al PROVEEDOR. El CLIENTE no podrá copiar, descompilar, realizar ingeniería inversa ni revender el software bajo ningún concepto.


CLÁUSULA 2: CONDICIONES ECONÓMICAS Y SUSPENSIÓN POR IMPAGO

El CLIENTE abonará la tarifa correspondiente a la modalidad de facturación contratada, según las siguientes opciones:

ModalidadPrecioCiclo
LumenDent 19,99 € (IVA incluido) mensual (cada 30 días)
LumenDent Anual 199,99 € (IVA incluido) anual (cada 365 días)

El plan contratado por el CLIENTE es: ________________________________

En caso de que el CLIENTE se retrase más de 15 días en el pago de la cuota, el PROVEEDOR se reserva el derecho de suspender temporalmente el acceso a la aplicación sin que esto se considere una brecha de servicio. Transcurridos 30 días de impago, se podrá proceder a la resolución del contrato y bloqueo del acceso, previo aviso al CLIENTE por correo electrónico con al menos siete (7) días de antelación para permitir la exportación de sus datos. Los registros de pacientes con historias clínicas dentro del plazo de custodia legal obligatorio (Ley 41/2002) quedarán técnicamente bloqueados e inaccesibles para el CLIENTE hasta su regularización o hasta que se agote dicho plazo, momento en el que serán suprimidos de forma segura. En ningún caso se procederá al borrado inmediato de historias clínicas que no hayan cumplido su plazo legal de conservación.


CLÁUSULA 3: LIMITACIÓN DE RESPONSABILIDAD

El PROVEEDOR se compromete a poner todos los medios técnicos y humanos comercialmente razonables para garantizar la disponibilidad del servicio (SLA del 99% mensual).

En caso de caída del sistema, fallo de programación, pérdida fortuita de datos o hackeo, la responsabilidad total y máxima del PROVEEDOR frente al CLIENTE quedará limitada, en su conjunto, al importe total que el CLIENTE haya pagado al PROVEEDOR en los últimos SEIS (6) MESES anteriores al hecho causante de la reclamación.

El PROVEEDOR no responderá en ningún caso de daños indirectos, lucro cesante, ni de las sanciones que la AEPD imponga al CLIENTE debido a negligencias de la propia clínica (ej. compartir contraseñas).

En caso de que el PROVEEDOR contrate en el futuro una póliza de seguro de responsabilidad civil profesional, el límite indicado en esta cláusula quedará automáticamente ampliado hasta el importe de cobertura de dicha póliza, sin necesidad de modificar el presente contrato.


CLÁUSULA 4: OBJETO DEL ENCARGO DE TRATAMIENTO (RGPD Art. 28)

El PROVEEDOR (Encargado) tratará los datos personales contenidos en la Plataforma únicamente para prestar el servicio informático siguiendo las instrucciones documentadas del CLIENTE (Responsable). Los datos tratados incluyen datos identificativos y categorías especiales de datos de salud (historiales clínicos, diagnósticos, radiografías) de los pacientes de la clínica.


CLÁUSULA 5: MEDIDAS DE SEGURIDAD Y NOTIFICACIÓN DE BRECHAS

El PROVEEDOR implementará medidas de seguridad técnicas que garanticen el cifrado de datos de salud en tránsito y reposo, control de accesos por usuario y copias de seguridad en servidores de la Unión Europea (proveedor: IONOS).

El PROVEEDOR notificará al CLIENTE sin dilación indebida (y en un plazo objetivo de 24 horas) cualquier brecha de seguridad que afecte a sus datos personales, facilitando la información técnica disponible para que el CLIENTE pueda cumplir con su obligación de reportar a la AEPD en 72 horas.


CLÁUSULA 6: RETENCIÓN DE HISTORIAS CLÍNICAS Y RESOLUCIÓN

A la finalización del contrato, el PROVEEDOR facilitará la exportación de los datos al CLIENTE en un formato estándar (CSV/JSON/PDF) durante un periodo de 30 días.

Conforme a la legislación sanitaria estatal, las historias clínicas deben conservarse un mínimo de cinco (5) años desde la última asistencia (Ley 41/2002, Art. 17). Las partes acuerdan que el PROVEEDOR no ejecutará el borrado físico completo de los registros de pacientes activos que no hayan cumplido dicho plazo legal, procediendo en su lugar al bloqueo técnico de los mismos.

Normativa autonómica: La Ley 41/2002 establece un mínimo nacional de cinco años que ciertas Comunidades Autónomas amplían (p.ej. Cataluña: 20 años; Navarra: 10 años). El CLIENTE es responsable de conocer y cumplir la normativa de su Comunidad Autónoma y de comunicar al ENCARGADO cualquier plazo superior que le resulte aplicable.


CLÁUSULA 7: JURISDICCIÓN Y LEY APLICABLE

Este contrato se rige por la ley española. Para cualquier disputa que pueda surgir de la interpretación o ejecución de este contrato, ambas partes renuncian a su propio fuero y se someten expresamente a los Juzgados y Tribunales de la ciudad de Madrid.


CLÁUSULA 8: SUBENCARGADOS DEL TRATAMIENTO (Art. 28.2 y 28.4 RGPD)

El CLIENTE autoriza expresamente al ENCARGADO a recurrir a los siguientes subencargados:

SubencargadoPaísFunción
IONOS SE (NIF DE-DE814352260, Adolf-Grimme-Allee 1, 50829 Colonia)Alemania (UE)Alojamiento web y base de datos

El ENCARGADO notificará al CLIENTE con antelación mínima de treinta (30) días cualquier cambio de subencargado y garantiza que estos ofrecen las mismas garantías del presente contrato.


CLÁUSULA 9: ASISTENCIA PARA EL EJERCICIO DE DERECHOS DE INTERESADOS (Art. 28.3.e RGPD)

El ENCARGADO asistirá al CLIENTE en las solicitudes de derechos de sus pacientes (acceso, rectificación, supresión, portabilidad, oposición, Arts. 15-22 RGPD) mediante mecanismos técnicos de consulta, exportación y supresión, con plazo de atención máximo de setenta y dos (72) horas.


CLÁUSULA 10: INFORMACIÓN, AUDITORÍA Y ASISTENCIA EN BRECHAS (Arts. 28.3.f, 28.3.g y 28.3.h RGPD)

(a) Auditorías: el ENCARGADO pondrá a disposición del CLIENTE la información necesaria para demostrar conformidad y permitirá auditorías con preaviso mínimo de quince (15) días laborables.

(b) Instrucciones ilegales: el ENCARGADO notificará sin demora al CLIENTE si una instrucción recibida infringe el RGPD.

(c) Asistencia en brechas: el ENCARGADO asistirá al CLIENTE en la evaluación del riesgo, la comunicación a interesados afectados (Art. 34 RGPD) y la notificación a la AEPD dentro del plazo de setenta y dos (72) horas (Art. 33 RGPD).

(d) EIPD: el ENCARGADO prestará asistencia técnica para evaluaciones de impacto (Art. 35 RGPD) cuando el CLIENTE lo requiera.


CLÁUSULA 11: OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO (CLIENTE)

El CLIENTE se compromete a: (a) informar a sus pacientes del uso de la Plataforma en su política de privacidad (Art. 13 RGPD); (b) disponer de base jurídica válida para tratar datos de salud (Art. 9.2.h RGPD); (c) no introducir datos sin legitimación suficiente; (d) atender solicitudes de derechos de sus pacientes usando los mecanismos del ENCARGADO; (e) notificar al ENCARGADO cualquier incidente de seguridad que conozca; (f) nombrar DPO si sus obligaciones legales así lo exigen.


CLÁUSULA 12: CONFIDENCIALIDAD DEL PERSONAL DEL ENCARGADO (Art. 28.3.b RGPD)

El ENCARGADO garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza legal, y que han recibido la formación necesaria en materia de protección de datos.


Y en prueba de conformidad, firman el presente contrato por duplicado ejemplar en el lugar y fecha indicados en el encabezamiento. La aceptación electrónica del CLIENTE constituye firma electrónica conforme al Art. 3.10 del Reglamento (UE) 910/2014 (eIDAS) y al Art. 23 de la Ley 34/2002 (LSSI-CE), quedando registradas la fecha, hora, IP y versión del documento.

EL PROVEEDOR

Jonathan Alonso Lebreton
NIF: 02659784-H

EL CLIENTE

[Nombre del Cliente]

NIF/CIF: [Número]