En Madrid, a 4 de julio de 2026.
De una parte, Jonathan Alonso Lebreton, con NIF 02659784-H, y domicilio en Calle Marmolina 16, 1.º F, Madrid (en adelante, el PROVEEDOR o el ENCARGADO).
De otra parte, [Nombre del Dentista o Clínica], con NIF/CIF [Número], y domicilio en [Dirección] (en adelante, el CLIENTE o el RESPONSABLE).
Ambas partes se reconocen mutua capacidad legal y acuerdan el presente contrato en base a las siguientes:
El PROVEEDOR concede al CLIENTE una licencia de uso no exclusiva, intransferible y temporal de la aplicación informática de gestión de clínicas dentales LumenDent App (en adelante, la «Plataforma»).
Todos los derechos de propiedad intelectual, código fuente, diseños, interfaces y actualizaciones de la Plataforma pertenecen exclusivamente al PROVEEDOR. El CLIENTE no podrá copiar, descompilar, realizar ingeniería inversa ni revender el software bajo ningún concepto.
El CLIENTE abonará la tarifa correspondiente a la modalidad de facturación contratada, según las siguientes opciones:
| Modalidad | Precio | Ciclo |
|---|---|---|
| LumenDent | 19,99 € (IVA incluido) | mensual (cada 30 días) |
| LumenDent Anual | 199,99 € (IVA incluido) | anual (cada 365 días) |
El plan contratado por el CLIENTE es: ________________________________
En caso de que el CLIENTE se retrase más de 15 días en el pago de la cuota, el PROVEEDOR se reserva el derecho de suspender temporalmente el acceso a la aplicación sin que esto se considere una brecha de servicio. Transcurridos 30 días de impago, se podrá proceder a la resolución del contrato y bloqueo del acceso, previo aviso al CLIENTE por correo electrónico con al menos siete (7) días de antelación para permitir la exportación de sus datos. Los registros de pacientes con historias clínicas dentro del plazo de custodia legal obligatorio (Ley 41/2002) quedarán técnicamente bloqueados e inaccesibles para el CLIENTE hasta su regularización o hasta que se agote dicho plazo, momento en el que serán suprimidos de forma segura. En ningún caso se procederá al borrado inmediato de historias clínicas que no hayan cumplido su plazo legal de conservación.
El PROVEEDOR se compromete a poner todos los medios técnicos y humanos comercialmente razonables para garantizar la disponibilidad del servicio (SLA del 99% mensual).
En caso de caída del sistema, fallo de programación, pérdida fortuita de datos o hackeo, la responsabilidad total y máxima del PROVEEDOR frente al CLIENTE quedará limitada, en su conjunto, al importe total que el CLIENTE haya pagado al PROVEEDOR en los últimos SEIS (6) MESES anteriores al hecho causante de la reclamación.
El PROVEEDOR no responderá en ningún caso de daños indirectos, lucro cesante, ni de las sanciones que la AEPD imponga al CLIENTE debido a negligencias de la propia clínica (ej. compartir contraseñas).
En caso de que el PROVEEDOR contrate en el futuro una póliza de seguro de responsabilidad civil profesional, el límite indicado en esta cláusula quedará automáticamente ampliado hasta el importe de cobertura de dicha póliza, sin necesidad de modificar el presente contrato.
El PROVEEDOR (Encargado) tratará los datos personales contenidos en la Plataforma únicamente para prestar el servicio informático siguiendo las instrucciones documentadas del CLIENTE (Responsable).
Los datos tratados incluyen datos identificativos y categorías especiales de datos de salud (historiales clínicos, diagnósticos, radiografías) de los pacientes de la clínica.
El PROVEEDOR implementará medidas de seguridad técnicas que garanticen el cifrado de datos de salud en tránsito y reposo, control de accesos por usuario y copias de seguridad en servidores de la Unión Europea (proveedor: IONOS).
El PROVEEDOR notificará al CLIENTE sin dilación indebida (y en un plazo objetivo de 24 horas) cualquier brecha de seguridad que afecte a sus datos personales, facilitando la información técnica disponible para que el CLIENTE pueda cumplir con su obligación de reportar a la AEPD en 72 horas.
A la finalización del contrato, el PROVEEDOR facilitará la exportación de los datos al CLIENTE en un formato estándar (CSV/JSON/PDF) durante un periodo de 30 días.
Conforme a la legislación sanitaria estatal, las historias clínicas deben conservarse un mínimo de cinco (5) años desde la última asistencia (Ley 41/2002, Art. 17). Las partes acuerdan que el PROVEEDOR no ejecutará el borrado físico completo de los registros de pacientes activos que no hayan cumplido dicho plazo legal, procediendo en su lugar al bloqueo técnico de los mismos si el CLIENTE así lo solicita expresamente.
Normativa autonómica: La Ley 41/2002 establece un plazo mínimo nacional de cinco años, que determinadas Comunidades Autónomas amplían (p.ej. Cataluña: 20 años; Navarra: 10 años). El CLIENTE, como Responsable del Tratamiento y profesional sanitario colegiado, es responsable de conocer y cumplir la normativa específica de su Comunidad Autónoma y de comunicar al ENCARGADO cualquier plazo de conservación superior al estatal que le resulte aplicable.
Este contrato se rige por la ley española. Para cualquier disputa que pueda surgir de la interpretación o ejecución de este contrato, ambas partes renuncian a su propio fuero y se someten expresamente a los Juzgados y Tribunales de la ciudad de Madrid.
El CLIENTE autoriza expresamente al ENCARGADO a recurrir a los siguientes subencargados para la prestación del servicio:
| Subencargado | País | Función |
|---|---|---|
| IONOS SE (NIF DE-DE814352260, Adolf-Grimme-Allee 1, 50829 Colonia) | Alemania (UE) | Alojamiento web y base de datos |
El ENCARGADO notificará al CLIENTE con una antelación mínima de treinta (30) días naturales cualquier incorporación o sustitución de subencargados, dando al CLIENTE la oportunidad de oponerse a dichos cambios. El ENCARGADO garantiza que los subencargados ofrecen las mismas garantías de protección de datos que las exigidas en el presente contrato.
El ENCARGADO asistirá al CLIENTE en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los pacientes (acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento, Arts. 15 a 22 del RGPD). A tal efecto, el ENCARGADO pondrá a disposición del CLIENTE los mecanismos técnicos necesarios para la consulta, exportación y supresión de datos de pacientes individuales, y atenderá las solicitudes técnicas del CLIENTE en un plazo máximo de setenta y dos (72) horas desde su recepción por correo electrónico.
El ENCARGADO se compromete a:
(a) Auditorías: poner a disposición del CLIENTE, previa solicitud escrita, toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente contrato, y a permitir y contribuir activamente a las auditorías o inspecciones llevadas a cabo por el CLIENTE o por un auditor autorizado por este con un preaviso mínimo de quince (15) días laborables.
(b) Notificación de instrucciones ilegales: notificar sin demora al CLIENTE si considera que alguna instrucción recibida de este infringe el RGPD u otras normativas de protección de datos aplicables.
(c) Asistencia en brechas: además de la notificación en el plazo previsto en la Cláusula 5, asistir al CLIENTE en la evaluación del riesgo de la brecha, en la comunicación a los interesados afectados cuando así lo exija el Art. 34 del RGPD, y en la preparación de la notificación a la Agencia Española de Protección de Datos dentro del plazo legal de setenta y dos (72) horas.
(d) Evaluaciones de impacto: prestar al CLIENTE la asistencia técnica necesaria para llevar a cabo evaluaciones de impacto relativas a la protección de datos (EIPD/DPIA) conforme al Art. 35 del RGPD, cuando el CLIENTE lo requiera.
El CLIENTE, en su condición de Responsable del Tratamiento de los datos de sus pacientes, se compromete expresamente a:
(a) Informar a sus pacientes del uso de la Plataforma como encargado del tratamiento, incluyendo mención al ENCARGADO en su propia política de privacidad conforme al Art. 13 del RGPD.
(b) Disponer de una base jurídica válida para el tratamiento de datos de categoría especial (datos de salud) de sus pacientes, de conformidad con el Art. 9.2 del RGPD, siendo la habitual la prestación de asistencia sanitaria [Art. 9.2.h)].
(c) No introducir en la Plataforma datos de personas que no sean pacientes suyos, ni datos para los que no disponga de legitimación suficiente.
(d) Atender las solicitudes de ejercicio de derechos de sus pacientes (acceso, rectificación, supresión, portabilidad, oposición) utilizando los mecanismos técnicos que el ENCARGADO pone a su disposición.
(e) Notificar sin demora al ENCARGADO cualquier incidente de seguridad del que tenga conocimiento y que pueda afectar a los datos almacenados en la Plataforma.
(f) Nombrar un Delegado de Protección de Datos (DPO) si las obligaciones legales así lo exigieran en su ámbito de actividad.
El ENCARGADO garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza legal, y que han recibido la formación necesaria en materia de protección de datos.
Y en prueba de conformidad, firman el presente contrato por duplicado ejemplar en el lugar y fecha indicados en el encabezamiento.