{# BORRADOR: contrato de encargo (art. 28 RGPD). Requiere revisión por un abogado
   especializado en protección de datos sanitarios antes de su firma/uso. #}

<!doctype html>
<html lang="es" class="h-full">
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <title>Contrato de Encargo de Tratamiento · NutriSAS</title>
    <link rel="icon" type="image/svg+xml" href="/static/favicon.ec78bb82a3d1.svg">
    <link rel="preconnect" href="https://fonts.googleapis.com">
    <link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
    <link href="https://fonts.googleapis.com/css2?family=Space+Grotesk:wght@400;500;600;700&family=Manrope:wght@400;500;600;700;800&family=Space+Mono:wght@400;700&display=swap" rel="stylesheet">
    <script src="https://cdn.tailwindcss.com"></script>
    <script>
      // Mapea los nombres de color de Tailwind a los tokens (variables CSS)
      // definidos en static/css/design-system.css. El formato
      // rgb(var(--token) / <alpha-value>) preserva los modificadores de
      // opacidad (p. ej. bg-slate-900/50). Los nombres heredados
      // (brand, slate, stone…) se remapean a la nueva paleta Nutrxia.
      const t = (v) => `rgb(var(${v}) / <alpha-value>)`;
      const scale = (name) => Object.fromEntries(
        [50,100,200,300,400,500,600,700,800,900].map((s) => [s, t(`--${name}-${s}`)])
      );
      tailwind.config = {
        theme: {
          extend: {
            fontFamily: {
              sans:    ['Manrope', 'ui-sans-serif', 'system-ui', 'sans-serif'],
              display: ['Space Grotesk', 'ui-sans-serif', 'sans-serif'],
              mono:    ['Space Mono', 'ui-monospace', 'Courier New', 'monospace'],
            },
            colors: {
              brand: scale('mint'),           // primario · verde forestal
              slate: scale('sand'),           // neutros cálidos
              stone: scale('sand'),           // fondo crema
              gray:  scale('sand'),
              // colores de estado
              blue:    scale('info'),
              green:   scale('success'),
              emerald: scale('success'),
              red:     scale('danger'),
              rose:    scale('danger'),
              // alias semánticos para plantillas/código nuevo
              primary:   { DEFAULT: t('--color-primary'), hover: t('--color-primary-hover') },
              accent:    scale('accent'),
              success:   scale('success'),
              warning:   scale('warning'),
              danger:    scale('danger'),
              info:      scale('info'),
            },
          },
        },
      };
    </script>
    <link rel="stylesheet" href="/static/css/design-system.b13db4db5b12.css">
    <script src="https://unpkg.com/htmx.org@2.0.10/dist/htmx.min.js"
            integrity="sha384-H5SrcfygHmAuTDZphMHqBJLc3FhssKjG7w/CeCpFReSfwBWDTKpkzPP8c+cLsK+V"
            crossorigin="anonymous" defer></script>
</head>
<body class="h-full text-slate-800 antialiased">
<div class="flex min-h-full flex-col">
  

  <main class="mx-auto w-full max-w-6xl flex-1 px-4 py-10 sm:py-14">
    
    
<style>
  .legal-doc { max-width: 52rem; margin: 0 auto; color: rgb(var(--sand-700)); }
  .legal-doc h1 { font-size: 1.75rem; font-weight: 700; color: rgb(var(--sand-900)); }
  .legal-doc h2 { font-size: 1.2rem; font-weight: 600; color: rgb(var(--sand-900)); margin-top: 2rem; margin-bottom: .5rem; }
  .legal-doc h3 { font-size: 1rem; font-weight: 600; color: rgb(var(--sand-800)); margin-top: 1.25rem; margin-bottom: .25rem; }
  .legal-doc p, .legal-doc li { line-height: 1.65; }
  .legal-doc p { margin: .6rem 0; }
  .legal-doc ul { list-style: disc; padding-left: 1.4rem; margin: .6rem 0; }
  .legal-doc ol { list-style: decimal; padding-left: 1.4rem; margin: .6rem 0; }
  .legal-doc li { margin: .25rem 0; }
  .legal-doc table { width: 100%; border-collapse: collapse; margin: 1rem 0; font-size: .9rem; }
  .legal-doc th, .legal-doc td { border: 1px solid rgb(var(--sand-200)); padding: .5rem .6rem; text-align: left; vertical-align: top; }
  .legal-doc th { background: rgb(var(--sand-50)); font-weight: 600; }
  .legal-doc a { color: rgb(var(--mint-700)); text-decoration: underline; }
  .legal-doc strong { color: rgb(var(--sand-900)); }
  .legal-ph { background: rgb(var(--warning-100)); padding: 0 .2rem; border-radius: .2rem; }
</style>

<div class="legal-doc">
  <a href="/" class="mb-6 inline-flex items-center gap-2 text-sm font-semibold text-brand-700">
    <span class="inline-flex h-7 w-7 items-center justify-center rounded-lg bg-gradient-to-br from-brand-500 to-brand-700 text-white">
      <svg xmlns="http://www.w3.org/2000/svg" width="16" height="16" viewBox="0 0 24 24" fill="none" stroke="currentColor" stroke-width="2" stroke-linecap="round" stroke-linejoin="round"><path d="M11 20A7 7 0 0 1 9.8 6.1C15.5 5 17 4.48 19.5 2c2.5 5 4 8 4 12a7 7 0 0 1-13.78 2"/><path d="M2 21c0-3 1.85-5.36 5.08-6C9.5 14.52 12 13 13 12"/></svg>
    </span>
    NutriSAS
  </a>

  <h1>Contrato de Encargo de Tratamiento (art. 28 RGPD)</h1>
  <p class="text-sm text-slate-500">Última actualización: <span class="legal-ph">[fecha de última actualización]</span></p>

  

<p>Este Contrato regula el tratamiento de datos personales que [RAZÓN SOCIAL O NOMBRE DEL TITULAR] («el <strong>Encargado</strong>») realiza por cuenta de la clínica o profesional usuario del Servicio («el <strong>Responsable</strong>»), en el marco de los <a href="/legal/terminos/">Términos de Servicio</a>. Forma parte integrante de dichos Términos.</p>

<h2>1. Objeto</h2>
<p>El Encargado tratará, por cuenta del Responsable, los datos personales necesarios para prestar el Servicio de gestión de consulta de nutrición (gestión de pacientes, citas, medidas clínicas, recordatorios y sincronización de calendario), conforme a las instrucciones documentadas del Responsable.</p>

<h2>2. Duración</h2>
<p>Este Contrato estará vigente mientras el Responsable use el Servicio. A su finalización se aplicará lo previsto en la cláusula 8.</p>

<h2>3. Descripción del tratamiento (Anexo I)</h2>
<ul>
  <li><strong>Naturaleza y finalidad:</strong> alojamiento, registro, organización, consulta y comunicación de los datos para la gestión asistencial y administrativa de la consulta.</li>
  <li><strong>Categorías de interesados:</strong> pacientes del Responsable.</li>
  <li><strong>Categorías de datos:</strong> identificativos y de contacto (nombre, apellidos, teléfono, correo); y <strong>categorías especiales — datos de salud</strong> (art. 9 RGPD): medidas y parámetros clínicos (peso, composición corporal, perímetros), notas de consulta, objetivos y campos clínicos personalizados.</li>
</ul>

<h2>4. Obligaciones del Encargado</h2>
<ul>
  <li>Tratar los datos <strong>solo según las instrucciones documentadas</strong> del Responsable, incluidas las relativas a transferencias internacionales.</li>
  <li>Garantizar la <strong>confidencialidad</strong> y que las personas autorizadas se comprometan a respetarla.</li>
  <li>Aplicar las <strong>medidas de seguridad</strong> del art. 32 RGPD (Anexo II).</li>
  <li><strong>Asistir al Responsable</strong> en la atención de los derechos de los interesados y en el cumplimiento de las obligaciones de los arts. 32 a 36 (seguridad, notificación de brechas y evaluaciones de impacto).</li>
  <li><strong>Notificar sin dilación indebida</strong> al Responsable cualquier violación de seguridad de la que tenga conocimiento, con la información necesaria.</li>
  <li>Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir <strong>auditorías</strong>.</li>
  <li>No tratar los datos para fines propios.</li>
</ul>

<h2>5. Subencargados</h2>
<p>El Responsable <strong>autoriza</strong> al Encargado a recurrir a los subencargados relacionados en el <a href="/legal/subencargados/">Anexo de subencargados</a>. El Encargado impondrá a cada subencargado obligaciones de protección equivalentes a las de este Contrato e informará de cualquier cambio previsto (alta o sustitución), dando opción a oponerse.</p>

<h2>6. Transferencias internacionales</h2>
<p>Cuando un subencargado trate datos fuera del EEE, el Encargado garantizará la existencia de garantías adecuadas (art. 46 RGPD), como las cláusulas contractuales tipo de la Comisión Europea. El detalle de ubicaciones figura en el Anexo de subencargados.</p>

<h2>7. Medidas de seguridad (Anexo II)</h2>
<ul>
  <li>Cifrado de las comunicaciones en tránsito (HTTPS/TLS).</li>
  <li>Control de acceso individualizado mediante autenticación federada (inicio de sesión con Google) y caducidad de sesión.</li>
  <li><strong>Registro de auditoría inmutable</strong> de los accesos a datos de pacientes (quién, a qué paciente, cuándo y qué acción), con cadena de integridad y conservación de 2 años.</li>
  <li>Protección frente a accesos por fuerza bruta.</li>
  <li>Minimización de los datos comunicados a terceros (p. ej. en calendario y SMS solo los datos imprescindibles).</li>
  <li>Copias de seguridad y capacidad de restauración. <span class="legal-ph">[Detallar política de backups/PITR del proveedor de base de datos.]</span></li>
</ul>

<h2>8. Devolución o supresión al finalizar</h2>
<p>Finalizada la prestación, el Encargado, a elección del Responsable, <strong>devolverá o suprimirá</strong> los datos personales y eliminará las copias existentes, salvo que la conservación venga exigida por el Derecho de la Unión o de los Estados miembros.</p>

<h2>9. Responsable y firma</h2>
<table>
  <thead><tr><th>Encargado</th><th>Responsable</th></tr></thead>
  <tbody>
    <tr>
      <td>[RAZÓN SOCIAL O NOMBRE DEL TITULAR]<br>NIF: <span class="legal-ph">[NIF / CIF]</span><br><span class="legal-ph">[DIRECCIÓN POSTAL COMPLETA]</span></td>
      <td><span class="legal-ph">[Nombre de la clínica/profesional]</span><br>NIF: <span class="legal-ph">[NIF del Responsable]</span><br><span class="legal-ph">[Dirección del Responsable]</span></td>
    </tr>
  </tbody>
</table>
<p class="text-sm text-slate-500"><span class="legal-ph">[Este documento debe quedar aceptado/firmado por el Responsable, p. ej. en el alta o mediante aceptación expresa registrada.]</span></p>



  <hr class="my-8 border-slate-200">
  <nav class="flex flex-wrap gap-x-4 gap-y-1 text-sm text-slate-500">
    <a href="/legal/privacidad/" class="hover:text-slate-800">Política de Privacidad</a>
    <a href="/legal/terminos/" class="hover:text-slate-800">Términos de Servicio</a>
    <a href="/legal/cookies/" class="hover:text-slate-800">Cookies</a>
    <a href="/legal/encargo-tratamiento/" class="hover:text-slate-800">Encargo de Tratamiento</a>
    <a href="/legal/subencargados/" class="hover:text-slate-800">Subencargados</a>
  </nav>
</div>

  </main>

  <footer class="border-t border-slate-200 bg-white">
    <div class="mx-auto flex max-w-6xl flex-col gap-2 px-4 py-6 text-xs text-slate-500 sm:flex-row sm:items-center sm:justify-between">
      <span>© 2026 NutriSAS</span>
      <nav class="flex flex-wrap gap-x-4 gap-y-1">
        <a href="/legal/privacidad/" class="hover:text-slate-700">Privacidad</a>
        <a href="/legal/terminos/" class="hover:text-slate-700">Términos</a>
        <a href="/legal/cookies/" class="hover:text-slate-700">Cookies</a>
      </nav>
    </div>
  </footer>
</div>

</body>
</html>