Última actualización: abril de 2026
Este documento resume, para nutricionistas y dietistas que usan NutricoPiloto con pacientes, el reparto de responsabilidades en protección de datos y los subencargados habituales de la plataforma. Es información de apoyo a la transparencia; no sustituye asesoramiento jurídico ni un contrato de encargo del tratamiento (DPA) firmado entre tu organización profesional y el operador de NutricoPiloto en la figura de encargado.
Cuando introduces y tratas datos de pacientes (identificación, salud, consultas, planes, documentos, imágenes, etc.), en el marco del RGPD y la LOPDGDD actúas normalmente como responsable del tratamiento respecto de esos datos.
NutricoPiloto (titular del servicio: datos en la Política de Privacidad) actúa como encargado del tratamiento en la medida en que trata datos de pacientes únicamente siguiendo tus instrucciones y para la prestación de la herramienta, conforme al artículo 28 del RGPD. Los datos de tu propia cuenta profesional (registro, facturación vía pasarela, etc.) los trata como responsable del tratamiento el titular del servicio NutricoPiloto, salvo que la ley atribuya otro papel concreto a cada tratamiento.
Debes poder acreditar bases legales (p. ej. consentimiento explícito para datos de salud del art. 9 RGPD, relación terapéutica, etc.) y conservar la documentación clínica que exija tu colegio y la norma aplicable.
Si tu clínica, mutua o aseguradora exige un contrato de encargo del tratamiento (DPA) con el proveedor tecnológico, solicítalo indicando tu nombre completo, colegiación si aplica, dominio de uso y volumen aproximado de pacientes a: admin@nutricopiloto.com. Responderemos con el canal adecuado (plantilla o firma electrónica según corresponda).
La aplicación puede recurrir a los proveedores siguientes para funciones concretas. La lista puede actualizarse cuando se incorporen servicios nuevos; los cambios relevantes se reflejarán en la Política de Privacidad y, cuando proceda, se notificará por canales habituales de la plataforma.
| Proveedor | Función típica | Notas |
|---|---|---|
| Vercel Inc. | Alojamiento, funciones serverless, despliegue | Tratamiento habitual en UE; transferencias fuera del EEE amparadas en SCC y/o Data Privacy Framework según producto contratado. |
| Neon (base de datos) | PostgreSQL, persistencia de la aplicación | Configuración típica en región UE. |
| OpenAI | IA (generación, análisis, transcripción vía API) y, en rutas habilitadas, síntesis de voz (TTS) | Contenido enviado solo para la petición concreta; revisa la documentación vigente del proveedor sobre uso de datos y ubicación del tratamiento. |
| Microsoft (TTS vía msedge-tts) | Síntesis de voz en rutas que utilicen la librería (p. ej. voz de mascota / NutriPet) | El texto a locutar se envía al servicio de voz accesible por la librería; consulta la política de privacidad de Microsoft aplicable a ese producto. |
| Anthropic (si está activo) | IA en rutas que utilicen su API | Solo si el despliegue tiene claves y rutas habilitadas. |
| Stripe | Pagos, suscripciones, Connect para cobros | Datos de pago según Stripe; NutricoPiloto no almacena el PAN de la tarjeta. |
| Daily.co | Videollamadas en tiempo real | Audio/vídeo durante la sesión; ver política del proveedor. |
| Resend | Correo transaccional (verificación, avisos, etc.) | Metadatos y contenido según plantillas enviadas. |
| Vercel Blob | Archivos (logos, adjuntos, imágenes permitidas) | Almacenamiento objeto gestionado por Vercel. |
| Pusher (Pusher Ltd) | Mensajería / eventos en tiempo real | Contenido de canales según uso de la app. |
| Upstash | Redis (p. ej. rate limiting distribuido) | Claves técnicas y contadores; no sustituye la base principal. |
| PostHog | Analítica de producto (si está habilitada) | Solo si existen claves públicas configuradas en el despliegue. |
| Sentry | Monitorización de errores (si está habilitada) | Pilas de error y contexto técnico acotado. |
| Twilio | SMS / voz (si la función está activa en tu entorno) | Números y metadatos necesarios para el envío. |
| Google (OAuth / Calendar) | Inicio de sesión o integración de calendario si la activas | Tratamiento según políticas de Google y alcance que autorices. |
| Garmin, Strava, Fitbit, Dexcom, etc. | Wearables / dispositivos si el paciente o tú enlazáis la cuenta | Solo aplica cuando exista integración activa; cada marca impone sus propios términos. |
Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo. En esos casos suelen aplicarse las garantías del RGPD (p. ej. cláusulas contractuales tipo aprobadas por la Comisión Europea y/o el Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework)), según lo publicado por cada proveedor. Puedes solicitar más detalle en la petición de DPA.
Como responsable, conviene mantener un registro interno de actividades (art. 30.2 RGPD cuando aplique) que incluya: categorías de interesados, categorías de datos, finalidades, bases legales, plazos de conservación, medidas de seguridad y encargos a NutricoPiloto y a otros proveedores que uses en tu consulta (pasarela de pago propia, email clínico, etc.).