¿Qué es TrichoSuite?

TrichoSuite es un software integral para clínicas de trasplante capilar que incluye escáner 3D con LiDAR, calculadora de injertos con IA y gestión completa de pacientes.

¿Cómo funciona el escáner 3D?

El escáner 3D captura imágenes de alta resolución del cuero cabelludo usando iPhone con sensor LiDAR para analizar la densidad folicular y planificar el trasplante con precisión.

¿TrichoSuite es compatible con mi clínica?

TrichoSuite está diseñado para clínicas de cualquier tamaño, desde consultorios individuales hasta grandes cadenas de clínicas capilares internacionales.

¿Cuánto cuesta TrichoSuite?

TrichoSuite ofrece planes desde 399 EUR/mes (Core) hasta 1.499 EUR/mes (Pro), con un plan Enterprise personalizado para clínicas multi-sede.

¿Hay periodo de prueba gratuito?

Sí, ofrecemos una demo gratuita y un período de prueba para que puedas evaluar TrichoSuite sin compromiso.

Contrato de Encargo de Tratamiento (DPA)

Última actualización: 3 de febrero de 2026

Este Contrato de Encargo de Tratamiento (DPA) se suscribe conforme al Artículo 28 del RGPD (UE 2016/679) y el Artículo 33 de la LOPDGDD (LO 3/2018), y forma parte integral del contrato de servicios entre TrichoSuite y la clínica.

Descargar DPA (PDF)

Partes del Contrato

Responsable del Tratamiento

La clínica que contrata los servicios de TrichoSuite ("el Cliente")

Encargado del Tratamiento

TrichoSuite Technologies S.L. (CIF: — · Pendiente de inscripción)

1. Objeto y Alcance

El presente contrato tiene por objeto regular las condiciones en las que TrichoSuite Technologies S.L. (en adelante, "el Encargado") tratará los datos personales por cuenta de la clínica (en adelante, "el Responsable") en el marco de la prestación de los servicios de la plataforma TrichoSuite.

Este DPA se aplica a todo tratamiento de datos personales que el Encargado realice en nombre del Responsable, incluyendo el almacenamiento, la modificación, la consulta, la comunicación por transmisión y la supresión de datos.

2. Datos Tratados

El Encargado tratara las siguientes categorias de datos personales:

•Datos identificativos de pacientes: nombre, apellidos, DNI/NIE, email, teléfono, fecha de nacimiento, dirección.
•Datos de salud (Art. 9 RGPD): clasificación Norwood/Ludwig, fotografías clínicas, escaneos 3D, historial médico, alergias, medicaciones, registros quirúrgicos, documentacion de seguimiento.
•Datos de comunicaciones: mensajes con personal clínico, conversaciones del chatbot IA, formularios de consentimiento firmados digitalmente.
•Datos del personal clínico: nombre, email profesional, rol, credenciales de acceso, registros de actividad.
•Datos financieros: facturas, presupuestos, registros de pago (gestionados a través de Stripe).

IMPORTANTE: Los datos de salud son datos de categoría especial según el Artículo 9 del RGPD. Su tratamiento se realiza bajo la excepción del Art. 9(2)(h) - fines de medicina preventiva, diagnóstico médico o prestación de asistencia sanitaria.

3. Obligaciones del Encargado

El Encargado se compromete a:

•Tratar los datos unicamente conforme a las instrucciones documentadas del Responsable.
•No utilizar los datos personales para fines propios, incluyendo marketing, perfilado o venta a terceros.
•Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad.
•Implementar las medidas técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD.
•Asistir al Responsable en el cumplimiento de solicitudes de ejercicio de derechos de los interesados.
•Asistir al Responsable en evaluaciones de impacto relativas a la protección de datos (EIPD).
•Poner a disposicion del Responsable toda la información necesaria para demostrar cumplimiento del Art. 28 RGPD.
•Notificar al Responsable sin dilación de cualquier solicitud recibida de un interesado.

4. Obligaciones del Responsable

El Responsable se compromete a:

•Obtener el consentimiento adecuado de los pacientes para el tratamiento de sus datos de salud.
•Proporcionar instrucciones licitas y conformes al RGPD al Encargado.
•Garantizar que dispone de base legal para el tratamiento de datos personales.
•Informar al Encargado de cualquier cambio en las instrucciones de tratamiento.
•Mantener un registro de actividades de tratamiento conforme al Art. 30 del RGPD.

5. Sub-encargados del Tratamiento

El Responsable autoriza de forma general al Encargado a contratar sub-encargados. El Encargado informara de cambios con al menos 30 dias de antelacion.

Proveedor	Servicio	Ubicacion	Salvaguarda
AWS	Infraestructura cloud	EU (Frankfurt)	SCCs + DPA
Railway	Hosting	EU	SCCs + DPA
Anthropic	IA (Chatbot Claude)	US	EU-US DPF + SCCs
OpenAI	Embeddings	US	EU-US DPF + SCCs
Stripe	Pagos	EU/US	PCI-DSS + SCCs
Resend	Email	EU	DPA
PostHog	Analítica	EU	DPA
Sentry	Monitorizacion	EU/US	SCCs + DPA

6. Medidas de Seguridad

El Encargado implementara las siguientes medidas conforme al Art. 32 del RGPD:

•Cifrado en transito (TLS 1.3) y en reposo (AES-256).
•Control de acceso basado en roles (RBAC) con mínimo privilegio.
•Autenticación multifactor (MFA) obligatoria para administradores.
•Registro de auditoria inmutable de todos los accesos y modificaciones.
•Copias de seguridad cifradas con geo-redundancia.
•Evaluaciones de seguridad regulares y pruebas de penetracion anuales.
•Monitorizacion continua y deteccion de amenazas.
•Procedimientos documentados de respuesta a incidentes.

7. Notificación de Brechas de Datos

En caso de violacion de seguridad, el Encargado notificara al Responsable en un plazo máximo de 24 horas. La notificacion incluira:

•Naturaleza de la violación, categorías y número aproximado de interesados afectados.
•Datos de contacto del Delegado de Protección de Datos.
•Posibles consecuencias de la violacion.
•Medidas adoptadas o propuestas para poner remedio.

El Encargado asistira al Responsable en la notificacion a la AEPD (72h, Art. 33 RGPD) y a los interesados afectados (Art. 34 RGPD).

8. Derechos de los Interesados

El Encargado asistira al Responsable para dar cumplimiento a las solicitudes de ejercicio de derechos (acceso, rectificacion, supresion, limitacion, portabilidad y oposicion). La plataforma proporciona herramientas integradas para exportacion de datos y eliminacion selectiva de registros.

9. Transferencias Internacionales

Los datos médicos se almacenan principalmente en la UE. Para transferencias fuera del EEE se garantizan Clausulas Contractuales Tipo (CCT) o adhesion al Marco de Privacidad de Datos UE-EE.UU.

10. Duración y Terminación

Este DPA permanecerá en vigor durante la vigencia del contrato de servicios y se extinguirá automáticamente a su finalización. Las obligaciones de confidencialidad sobrevivirán a la terminación.

11. Devolución y Eliminación de Datos

A la finalización, el Encargado devolverá o suprimirá todos los datos personales (incluyendo copias), a elección del Responsable. La devolución se realizará en formatos estándar (CSV, JSON, PDF) en un plazo de 30 días. Las copias de seguridad se eliminarán en 90 días.

12. Auditoría y Supervisión

El Encargado pondra a disposicion del Responsable toda la información necesaria para demostrar cumplimiento y permitirá auditorías con preaviso mínimo de 30 días, durante horario laboral y sin interferir en la operativa del servicio.

Firmas

Por el Responsable del Tratamiento:

Nombre, cargo, fecha y firma

Por el Encargado del Tratamiento:

TrichoSuite Technologies S.L.

Contacto

Para consultas sobre este DPA o para solicitar una copia firmada:

dpo@trichosuite.com

Calle Gran Via 28, 28013 Madrid, España