¿Qué es TrichoSuite?

TrichoSuite es un software integral para clínicas de trasplante capilar que incluye escáner 3D con LiDAR, calculadora de injertos con IA y gestión completa de pacientes.

¿Cómo funciona el escáner 3D?

El escáner 3D captura imágenes de alta resolución del cuero cabelludo usando iPhone con sensor LiDAR para analizar la densidad folicular y planificar el trasplante con precisión.

¿TrichoSuite es compatible con mi clínica?

TrichoSuite está diseñado para clínicas de cualquier tamaño, desde consultorios individuales hasta grandes cadenas de clínicas capilares internacionales.

¿Cuánto cuesta TrichoSuite?

TrichoSuite ofrece planes desde 399 EUR/mes (Core) hasta 1.499 EUR/mes (Pro), con un plan Enterprise personalizado para clínicas multi-sede.

¿Hay garantía de devolución de 30 días?

Sí. Los planes de pago se activan desde el primer día. Si en los primeros 30 días decides que TrichoSuite no es para tu clínica, te devolvemos el importe íntegro sin preguntas.

Contrato de Encargo de Tratamiento

Última actualización: 3 de febrero de 2026

Este Contrato de Encargo de Tratamiento (DPA) se suscribe conforme al Artículo 28 del RGPD (UE 2016/679) y forma parte integral del contrato de servicios entre TrichoSuite y la clínica.

Descargar DPA (PDF)

Partes del Contrato

Responsable del Tratamiento

La clínica que contrata los servicios de TrichoSuite ("el Cliente")

Encargado del Tratamiento

TrichoSuite Technologies S.L. (CIF: — · Pendiente de inscripción)

1. Objeto y Alcance

El presente contrato tiene por objeto regular las condiciones en las que TrichoSuite Technologies S.L. (en adelante, "el Encargado") tratará los datos personales por cuenta de la clínica (en adelante, "el Responsable") en el marco de la prestación de los servicios de la plataforma TrichoSuite.

Este DPA se aplica a todo tratamiento de datos personales que el Encargado realice en nombre del Responsable, incluyendo el almacenamiento, la modificación, la consulta, la comunicación por transmisión y la supresión de datos.

2. Datos Tratados

El Encargado tratará las siguientes categorías de datos personales:

•Datos identificativos de pacientes: nombre, apellidos, DNI/NIE, email, teléfono, fecha de nacimiento, dirección.
•Datos de salud (Art. 9 RGPD): clasificación Norwood/Ludwig, fotografías clínicas, escaneos 3D, historial médico, alergias, medicaciones, registros quirúrgicos, documentación de seguimiento.
•Datos de comunicaciones: mensajes con personal clínico, conversaciones del chatbot IA, formularios de consentimiento firmados digitalmente.
•Datos del personal clínico: nombre, email profesional, rol, credenciales de acceso, registros de actividad.
•Datos financieros: facturas, presupuestos, registros de pago (gestionados a través de Stripe).

IMPORTANTE: Los datos de salud son datos de categoría especial según el Artículo 9 del RGPD. Su tratamiento se realiza bajo la excepción del Art. 9(2)(h) - fines de medicina preventiva, diagnóstico médico o prestación de asistencia sanitaria.

3. Obligaciones del Encargado

El Encargado se compromete a:

•Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable.
•No utilizar los datos personales para fines propios, incluyendo marketing, perfilado o venta a terceros.
•Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad.
•Implementar las medidas técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD.
•Asistir al Responsable en el cumplimiento de solicitudes de ejercicio de derechos de los interesados.
•Asistir al Responsable en evaluaciones de impacto relativas a la protección de datos (EIPD).
•Poner a disposición del Responsable toda la información necesaria para demostrar cumplimiento del Art. 28 RGPD.
•Notificar al Responsable sin dilación de cualquier solicitud recibida de un interesado.

4. Obligaciones del Responsable

El Responsable se compromete a:

•Obtener el consentimiento adecuado de los pacientes para el tratamiento de sus datos de salud.
•Proporcionar instrucciones lícitas y conformes al RGPD al Encargado.
•Garantizar que dispone de base legal para el tratamiento de datos personales.
•Informar al Encargado de cualquier cambio en las instrucciones de tratamiento.
•Mantener un registro de actividades de tratamiento conforme al Art. 30 del RGPD.

5. Sub-encargados del Tratamiento

El Responsable autoriza de forma general al Encargado a contratar sub-encargados. El Encargado informará de cambios con al menos 30 días de antelación.

Proveedor	Servicio	Ubicación	Salvaguarda
AWS	Infraestructura cloud	EU (Frankfurt)	SCCs + DPA
Railway	Hosting	EU	SCCs + DPA
Anthropic	IA (Chatbot Claude)	US	EU-US DPF + SCCs
OpenAI	Embeddings	US	EU-US DPF + SCCs
Stripe	Pagos	EU/US	PCI-DSS + SCCs
Resend	Email	EU	DPA
PostHog	Analítica	EU	DPA
Sentry	Monitorización	EU/US	SCCs + DPA

6. Medidas de Seguridad

El Encargado implementará las siguientes medidas conforme al Art. 32 del RGPD:

•Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
•Control de acceso basado en roles (RBAC) con mínimo privilegio.
•Autenticación multifactor (MFA) obligatoria para administradores.
•Registro de auditoría inmutable de todos los accesos y modificaciones.
•Copias de seguridad cifradas con geo-redundancia.
•Evaluaciones de seguridad regulares y pruebas de penetración anuales.
•Monitorización continua y detección de amenazas.
•Procedimientos documentados de respuesta a incidentes.

7. Notificación de Brechas de Datos

En caso de violación de seguridad, el Encargado notificará al Responsable en un plazo máximo de 24 horas. La notificación incluirá:

•Naturaleza de la violación, categorías y número aproximado de interesados afectados.
•Datos de contacto del Delegado de Protección de Datos.
•Posibles consecuencias de la violación.
•Medidas adoptadas o propuestas para poner remedio.

El Encargado asistirá al Responsable en la notificación a la AEPD (72h, Art. 33 RGPD) y a los interesados afectados (Art. 34 RGPD).

8. Derechos de los Interesados

El Encargado asistirá al Responsable para dar cumplimiento a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición). La plataforma proporciona herramientas integradas para exportación de datos y eliminación selectiva de registros.

9. Transferencias Internacionales

Los datos médicos se almacenan principalmente en la UE. Para transferencias fuera del EEE se garantizan Cláusulas Contractuales Tipo (CCT) o adhesión al Marco de Privacidad de Datos UE-EE.UU.

10. Duración y Terminación

Este DPA permanecerá en vigor durante la vigencia del contrato de servicios y se extinguirá automáticamente a su finalización. Las obligaciones de confidencialidad sobrevivirán a la terminación.

11. Devolución y Eliminación de Datos

A la finalización, el Encargado devolverá o suprimirá todos los datos personales (incluyendo copias), a elección del Responsable. La devolución se realizará en formatos estándar (CSV, JSON, PDF) en un plazo de 30 días. Las copias de seguridad se eliminarán en 90 días.

12. Auditoría y Supervisión

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar cumplimiento y permitirá auditorías con preaviso mínimo de 30 días, durante horario laboral y sin interferir en la operativa del servicio.

Firmas

Por el Responsable del Tratamiento:

Nombre, cargo, fecha y firma

Por el Encargado del Tratamiento:

TrichoSuite Technologies S.L.

Contacto

Para consultas sobre este DPA o para solicitar una copia firmada:

dpo@trichosuite.com

TrichoSuite LLC — SIMULATED — 1209 Orange Street, Wilmington, DE 19801, USA (c/o Registered Agent TBD)