Contrato de Prestación de Servicios de Software (SaaS) y Encargo de Tratamiento de Datos

LumenDent · Versión 2026-07-04-v5

En Madrid, a 4 de julio de 2026.

REUNIDOS

De una parte, Jonathan Alonso Lebreton, con NIF 02659784-H, y domicilio en Calle Marmolina 16, 1.º F, Madrid (en adelante, el PROVEEDOR o el ENCARGADO).

De otra parte, [Nombre del Dentista o Clínica], con NIF/CIF [Número], y domicilio en [Dirección] (en adelante, el CLIENTE o el RESPONSABLE).

Ambas partes se reconocen mutua capacidad legal y acuerdan el presente contrato en base a las siguientes:

CLÁUSULA 1: OBJETO Y PROPIEDAD INTELECTUAL

El PROVEEDOR concede al CLIENTE una licencia de uso no exclusiva, intransferible y temporal de la aplicación informática de gestión de clínicas dentales LumenDent App (en adelante, la «Plataforma»).

Todos los derechos de propiedad intelectual, código fuente, diseños, interfaces y actualizaciones de la Plataforma pertenecen exclusivamente al PROVEEDOR. El CLIENTE no podrá copiar, descompilar, realizar ingeniería inversa ni revender el software bajo ningún concepto.

CLÁUSULA 2: CONDICIONES ECONÓMICAS Y SUSPENSIÓN POR IMPAGO

El CLIENTE abonará la tarifa correspondiente a la modalidad de facturación contratada, según las siguientes opciones:

ModalidadPrecioCiclo
LumenDent 19,99 € (IVA incluido) mensual (cada 30 días)
LumenDent Anual 199,99 € (IVA incluido) anual (cada 365 días)

El plan contratado por el CLIENTE es: ________________________________

En caso de que el CLIENTE se retrase más de 15 días en el pago de la cuota, el PROVEEDOR se reserva el derecho de suspender temporalmente el acceso a la aplicación sin que esto se considere una brecha de servicio. Transcurridos 30 días de impago, se podrá proceder a la resolución del contrato y bloqueo del acceso, previo aviso al CLIENTE por correo electrónico con al menos siete (7) días de antelación para permitir la exportación de sus datos. Los registros de pacientes con historias clínicas dentro del plazo de custodia legal obligatorio (Ley 41/2002) quedarán técnicamente bloqueados e inaccesibles para el CLIENTE hasta su regularización o hasta que se agote dicho plazo, momento en el que serán suprimidos de forma segura. En ningún caso se procederá al borrado inmediato de historias clínicas que no hayan cumplido su plazo legal de conservación.

CLÁUSULA 3: LIMITACIÓN DE RESPONSABILIDAD

El PROVEEDOR se compromete a poner todos los medios técnicos y humanos comercialmente razonables para garantizar la disponibilidad del servicio (SLA del 99% mensual).

En caso de caída del sistema, fallo de programación, pérdida fortuita de datos o hackeo, la responsabilidad total y máxima del PROVEEDOR frente al CLIENTE quedará limitada, en su conjunto, al importe total que el CLIENTE haya pagado al PROVEEDOR en los últimos SEIS (6) MESES anteriores al hecho causante de la reclamación.

El PROVEEDOR no responderá en ningún caso de daños indirectos, lucro cesante, ni de las sanciones que la AEPD imponga al CLIENTE debido a negligencias de la propia clínica (ej. compartir contraseñas).

En caso de que el PROVEEDOR contrate en el futuro una póliza de seguro de responsabilidad civil profesional, el límite indicado en esta cláusula quedará automáticamente ampliado hasta el importe de cobertura de dicha póliza, sin necesidad de modificar el presente contrato.

CLÁUSULA 4: OBJETO DEL ENCARGO DE TRATAMIENTO (RGPD Art. 28)

El PROVEEDOR (Encargado) tratará los datos personales contenidos en la Plataforma únicamente para prestar el servicio informático siguiendo las instrucciones documentadas del CLIENTE (Responsable).

Los datos tratados incluyen datos identificativos y categorías especiales de datos de salud (historiales clínicos, diagnósticos, radiografías) de los pacientes de la clínica.

CLÁUSULA 5: MEDIDAS DE SEGURIDAD Y NOTIFICACIÓN DE BRECHAS

El PROVEEDOR implementará medidas de seguridad técnicas que garanticen el cifrado de datos de salud en tránsito y reposo, control de accesos por usuario y copias de seguridad en servidores de la Unión Europea (proveedor: IONOS).

El PROVEEDOR notificará al CLIENTE sin dilación indebida (y en un plazo objetivo de 24 horas) cualquier brecha de seguridad que afecte a sus datos personales, facilitando la información técnica disponible para que el CLIENTE pueda cumplir con su obligación de reportar a la AEPD en 72 horas.

CLÁUSULA 6: RETENCIÓN DE HISTORIAS CLÍNICAS Y RESOLUCIÓN

A la finalización del contrato, el PROVEEDOR facilitará la exportación de los datos al CLIENTE en un formato estándar (CSV/JSON/PDF) durante un periodo de 30 días.

Conforme a la legislación sanitaria estatal, las historias clínicas deben conservarse un mínimo de cinco (5) años desde la última asistencia (Ley 41/2002, Art. 17). Las partes acuerdan que el PROVEEDOR no ejecutará el borrado físico completo de los registros de pacientes activos que no hayan cumplido dicho plazo legal, procediendo en su lugar al bloqueo técnico de los mismos si el CLIENTE así lo solicita expresamente.

Normativa autonómica: La Ley 41/2002 establece un plazo mínimo nacional de cinco años, que determinadas Comunidades Autónomas amplían (p.ej. Cataluña: 20 años; Navarra: 10 años). El CLIENTE, como Responsable del Tratamiento y profesional sanitario colegiado, es responsable de conocer y cumplir la normativa específica de su Comunidad Autónoma y de comunicar al ENCARGADO cualquier plazo de conservación superior al estatal que le resulte aplicable.

CLÁUSULA 7: JURISDICCIÓN Y LEY APLICABLE

Este contrato se rige por la ley española. Para cualquier disputa que pueda surgir de la interpretación o ejecución de este contrato, ambas partes renuncian a su propio fuero y se someten expresamente a los Juzgados y Tribunales de la ciudad de Madrid.

CLÁUSULA 8: SUBENCARGADOS DEL TRATAMIENTO (Art. 28.2 y 28.4 RGPD)

El CLIENTE autoriza expresamente al ENCARGADO a recurrir a los siguientes subencargados para la prestación del servicio:

SubencargadoPaísFunción
IONOS SE (NIF DE-DE814352260, Adolf-Grimme-Allee 1, 50829 Colonia)Alemania (UE)Alojamiento web y base de datos

El ENCARGADO notificará al CLIENTE con una antelación mínima de treinta (30) días naturales cualquier incorporación o sustitución de subencargados, dando al CLIENTE la oportunidad de oponerse a dichos cambios. El ENCARGADO garantiza que los subencargados ofrecen las mismas garantías de protección de datos que las exigidas en el presente contrato.

CLÁUSULA 9: ASISTENCIA PARA EL EJERCICIO DE DERECHOS DE INTERESADOS (Art. 28.3.e RGPD)

El ENCARGADO asistirá al CLIENTE en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los pacientes (acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento, Arts. 15 a 22 del RGPD). A tal efecto, el ENCARGADO pondrá a disposición del CLIENTE los mecanismos técnicos necesarios para la consulta, exportación y supresión de datos de pacientes individuales, y atenderá las solicitudes técnicas del CLIENTE en un plazo máximo de setenta y dos (72) horas desde su recepción por correo electrónico.

CLÁUSULA 10: INFORMACIÓN, AUDITORÍA Y ASISTENCIA EN BRECHAS (Arts. 28.3.f, 28.3.g y 28.3.h RGPD)

El ENCARGADO se compromete a:

(a) Auditorías: poner a disposición del CLIENTE, previa solicitud escrita, toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente contrato, y a permitir y contribuir activamente a las auditorías o inspecciones llevadas a cabo por el CLIENTE o por un auditor autorizado por este con un preaviso mínimo de quince (15) días laborables.

(b) Notificación de instrucciones ilegales: notificar sin demora al CLIENTE si considera que alguna instrucción recibida de este infringe el RGPD u otras normativas de protección de datos aplicables.

(c) Asistencia en brechas: además de la notificación en el plazo previsto en la Cláusula 5, asistir al CLIENTE en la evaluación del riesgo de la brecha, en la comunicación a los interesados afectados cuando así lo exija el Art. 34 del RGPD, y en la preparación de la notificación a la Agencia Española de Protección de Datos dentro del plazo legal de setenta y dos (72) horas.

(d) Evaluaciones de impacto: prestar al CLIENTE la asistencia técnica necesaria para llevar a cabo evaluaciones de impacto relativas a la protección de datos (EIPD/DPIA) conforme al Art. 35 del RGPD, cuando el CLIENTE lo requiera.

CLÁUSULA 11: OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO (CLIENTE)

El CLIENTE, en su condición de Responsable del Tratamiento de los datos de sus pacientes, se compromete expresamente a:

(a) Informar a sus pacientes del uso de la Plataforma como encargado del tratamiento, incluyendo mención al ENCARGADO en su propia política de privacidad conforme al Art. 13 del RGPD.

(b) Disponer de una base jurídica válida para el tratamiento de datos de categoría especial (datos de salud) de sus pacientes, de conformidad con el Art. 9.2 del RGPD, siendo la habitual la prestación de asistencia sanitaria [Art. 9.2.h)].

(c) No introducir en la Plataforma datos de personas que no sean pacientes suyos, ni datos para los que no disponga de legitimación suficiente.

(d) Atender las solicitudes de ejercicio de derechos de sus pacientes (acceso, rectificación, supresión, portabilidad, oposición) utilizando los mecanismos técnicos que el ENCARGADO pone a su disposición.

(e) Notificar sin demora al ENCARGADO cualquier incidente de seguridad del que tenga conocimiento y que pueda afectar a los datos almacenados en la Plataforma.

(f) Nombrar un Delegado de Protección de Datos (DPO) si las obligaciones legales así lo exigieran en su ámbito de actividad.

CLÁUSULA 12: CONFIDENCIALIDAD DEL PERSONAL DEL ENCARGADO (Art. 28.3.b RGPD)

El ENCARGADO garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza legal, y que han recibido la formación necesaria en materia de protección de datos.

Y en prueba de conformidad, firman el presente contrato por duplicado ejemplar en el lugar y fecha indicados en el encabezamiento.

EL PROVEEDOR
Jonathan Alonso Lebreton
NIF: 02659784-H
EL CLIENTE
[Nombre del Cliente]
NIF/CIF: [Número]
Documento publicado y firmado digitalmente por Jonathan Alonso Lebreton (NIF 02659784-H) en representación de LumenDent, el 4 de julio de 2026.
El CLIENTE manifiesta su conformidad con este contrato, identificado con los datos mostrados arriba, mediante la aceptación electrónica del recuadro correspondiente en la aplicación, quedando registrada la fecha, hora, dirección IP y versión del documento aceptada. Dicha aceptación constituye una firma electrónica en los términos del Art. 3.10 del Reglamento (UE) 910/2014 (eIDAS) y del Art. 23 de la Ley 34/2002 (LSSI-CE), con plena eficacia jurídica entre las partes.