AI Empire
Todos los artículos
Negocio · 14 min lectura

Auditar vendor SaaS antes de contratar · due diligence clínica privada 2026

·Jonatan Contell

Contratar un vendor SaaS para tu clínica es una decisión de 3-5 años. Si eliges mal · cambiar es doloroso · caro · y puede costar pacientes. Esta es la checklist de 15 preguntas críticas antes de firmar nada · con red flags concretos y respuestas que indican "buen vendor" vs "huye". Honesta · no lista marketing.

Por qué la mayoría de clínicas eligen mal vendor SaaS

Patrón típico:

  • Demo bonita · vendedor encantador · precio aceptable
  • Firma contrato 12-24 meses · paga primera anualidad
  • 3 meses después: bugs · soporte lento · features no funcionan como prometieron
  • 12 meses después: bloqueado · datos no exportables · precio sube renovación
  • 18 meses: cambias vendor · pierdes datos · paciente confuso · 6 semanas migración dolorosa

Este artículo te ahorra ese ciclo. 15 preguntas · 60 minutos conversación con vendor · decisión informada.

Las 15 preguntas críticas

1 · ¿Cuándo se fundó la empresa y qué financiación tiene?

Por qué importa: empresa de 6 meses con bootstrap es alto riesgo de quiebra. Empresa de 10 años rentable sin necesidad VC es muy estable. Empresa Series C +50M$ funding es estable pero puede ser objetivo adquisición.

Buena respuesta: "Fundada 2018 · Seed + Series A · rentable cash-flow operativo 2024 · runway>24 meses".

Red flag: "Estamos buscando funding ahora · runway 6 meses" o "no compartimos esa información".

2 · ¿Pueden darme 3 referencias de cliente verificables?

Por qué importa: "100+ clínicas confían en nosotros" en landing no es nada. Quieres hablar con clientes reales · perfil similar al tuyo.

Buena respuesta: "Aquí tienes 3 directores clínica perfil similar · contacta · te confirmamos los presentamos".

Red flag: "No podemos por confidencialidad" · "Mañana te paso · luego nunca llega".

3 · ¿Firmáis DPA (Data Processing Agreement) estándar AEPD?

Por qué importa: RGPD Art. 28 obliga a DPA firmado entre responsable (clínica) y encargado tratamiento (SaaS). Sin DPA · tú vas a multa AEPD potencial.

Buena respuesta: "Sí · DPA estándar disponible aquí [link]. Compatible AEPD. Subcontratistas listados. Garantías Art. 32 documentadas".

Red flag: "¿DPA? Te lo paso si lo pides" · o DPA genérico USA sin adaptación RGPD UE.

4 · ¿De quién es la propiedad de los datos del paciente?

Por qué importa: tu paciente es de la clínica · no del SaaS. Algunos contratos enturbian esto.

Buena respuesta: "Los datos paciente son 100% tuyos · siempre. Tienes derecho exportación cualquier momento. No usamos datos paciente para training modelos sin consentimiento explícito".

Red flag: cláusula "datos pueden usarse fines mejora producto" sin opt-out claro · o "datos son propiedad conjunta".

5 · ¿Cómo y cuándo puedo exportar mis datos completos?

Por qué importa: exit strategy crítico. Si vendor cierra · subes precio · cambias proveedor · debes poder migrar datos.

Buena respuesta: "Export disponible cualquier momento · formato estándar CSV + JSON + (si aplica) FHIR. Self-service desde panel · sin pedir permiso. Plazo <24h cualquier dataset".

Red flag: "Necesitas pedirlo por escrito · 30 días de plazo · cargo extra" · o formato propietario ilegible.

6 · ¿Qué SLA contractualizado ofrecéis?

Por qué importa: caída de tu sistema clínica = pacientes perdidos. SLA debe estar en contrato con compensación por incumplimiento.

Buena respuesta: "99.9% uptime mensual contractualizado · status page público · histórico consultable · créditos automáticos si incumplimos".

Red flag: "Nuestra disponibilidad es excelente · no firmamos SLA" · o SLA con asteriscos que excluyen todo.

7 · ¿Cuál es el SLA de soporte y horario?

Por qué importa: bug a las 9am martes · pacientes esperando · ¿en cuánto te responden?

Buena respuesta: "Soporte 9-19h L-V español · respuesta inicial <2h tickets normales · <30 min críticos · canal urgencia 24/7 plan Pro+".

Red flag: "Solo soporte por email" · "Respuesta 48-72h horario USA" · o no especifican.

8 · ¿Roadmap público o privado?

Por qué importa: qué features vienen · qué se está discontinuando.

Buena respuesta: "Roadmap público [link] · trimestres con commitments · clientes pueden votar features".

Red flag: "No compartimos roadmap" · o roadmap de hace 2 años desactualizado.

9 · ¿Habéis hecho security audit reciente?

Por qué importa: brechas datos clínica son catastróficas. Quieres vendor con higiene security.

Buena respuesta: "Sí · pen test anual con empresa independiente · ISO 27001 o SOC 2 Type II en progreso · informe ejecutivo bajo NDA disponible".

Red flag: "Tenemos security por diseño" · sin auditoría externa · sin certificaciones.

10 · ¿Cuándo fue vuestro último pen test?

Por qué importa: "tenemos" vs "tenemos de hace 5 años" es muy diferente.

Buena respuesta: "Últimos 12 meses · empresa X · informe resumen disponible · vulnerabilidades críticas resueltas en <30 días".

Red flag: "Hace tiempo no lo hacemos" · o no saben fechar.

11 · ¿Qué certificaciones compliance tenéis?

Por qué importa: ISO 27001 · SOC 2 · ENS · son indicadores madurez · NO obligatorios todos.

Buena respuesta: "ISO 27001 certificado · SOC 2 Type II · GDPR-ready (declaración cumplimiento + DPA + DPIA disponible)".

Red flag: claims "100% compliant" sin evidencia · o "estamos trabajando en ello" durante 3 años.

12 · ¿Cuál es vuestro modelo pricing transparente?

Por qué importa: precio negociado en demo vs precio renovación puede subir 30-100%.

Buena respuesta: "Pricing público en web · escalado por volumen documentado · subidas anuales<= IPC · sin sorpresas".

Red flag: "Precio personalizado solo en demo" · "Increases at our discretion".

13 · ¿Hay cláusula de salida sin penalty?

Por qué importa: si no funciona · ¿puedes salir? ¿en qué plazo? ¿pagando qué?

Buena respuesta: "Cancela cualquier momento con 30 días aviso · sin penalty · sin recuperación pagos anuales pero no exit fee".

Red flag: contrato 36 meses inquebrantable · exit fee 50% restante · "no es renegociable".

14 · ¿Quiénes son los subprocesadores actuales?

Por qué importa: tu data está donde está la de ellos. AWS · Stripe · Sentry · OpenAI · cada uno tiene implicaciones jurídicas.

Buena respuesta: "Lista pública actualizada [link] · notificamos 30 días antes cambios · derecho oposición cliente · todos con DPAs firmados upstream".

Red flag: "Cambia · te avisaremos cuando podamos" · sin lista pública.

15 · ¿Habéis tenido brecha datos o incident significativo?

Por qué importa: historial de incidents y cómo respondieron es predictor mejor que claim de "nunca pasará".

Buena respuesta: "Sí · X en fecha Y · comunicamos clientes en Z horas · postmortem público · acciones correctivas documentadas". O "No hemos tenido brecha · pero aquí está nuestro incident response playbook".

Red flag: "Nunca hemos tenido nada" con desdén · sin documentación incident response.

Red flags adicionales fuera de la checklist

  • Vendedor cambia de tema al preguntar security · compliance · DPA. Quiere cerrar pero no responde técnico.
  • "Mi CEO te llama mañana" · pero CEO no aparece. Hierarquía vendor opaca.
  • Promete demos imposibles · "instalación en 1 día" · "ROI 600% garantizado". Sales b.s. sin fundamento.
  • Falta de transparencia equipo técnico · no sabes quién es CTO · no hay engineering blog · changelog público.
  • Sin status page público · si no publican incidents · es porque no los gestionan profesionalmente.
  • Sin trust center · no documentan cumplimiento · sin links a privacidad técnica.
  • Contratos enviados como Word editable · vendor profesional usa firma digital + PDF inmutable.
  • "Te bajo precio si firmas hoy" · presión venta artificial. Vendor serio te deja tiempo evaluar.

Contract gotchas comunes · ojo a la letra pequeña

  • Auto-renewal silencioso · contrato se renueva 12m más si no avisas 90 días antes
  • Price increase clause · "vendor puede subir precio anualmente sin tope"
  • Data ownership ambiguous · cláusula que permite vendor usar tus datos aggregados/anonymizados
  • Limitación responsabilidad · cap indemnización a precio 12 meses · si brecha datos · es insuficiente
  • Jurisdicción extranjera · litigios en Delaware o California · tú en España = problema
  • Exit fee escondido · "1 mes precio contrato por servicio terminación"
  • SLA exclusiones masivas · "no cuenta caída si DNS · ISP · proveedor cloud · maintenance"

Proceso recomendado due diligence

  • Semana 1 · Demo + envío 15 preguntas email
  • Semana 2 · Recepción respuestas + DPA + contrato · revisión interna
  • Semana 3 · 3 referencias cliente contactadas (15 min cada uno)
  • Semana 4 · Negociación cláusulas problemáticas · abogado revisión final · firma

Total 4 semanas due diligence. Si vendor presiona "tienes que decidir esta semana" · red flag claro.

Cómo AI Empire encaja en este framework

Sí · esta sección sería autopromocional si fuera falsa. Sé honesto:

  • Empresa joven (2025) · bootstrap · runway corto · riesgo financiero existe
  • Status page público en /status · changelog público /changelog
  • DPA estándar AEPD disponible · subprocesadores listados /subprocesadores · DPIA documentada
  • Datos paciente 100% del cliente · export completo cualquier momento · sin lock-in
  • Trust center público /trust con todas certificaciones + roadmap compliance
  • Sin SOC 2 / ISO 27001 todavía · honesto · roadmap pública
  • Contratos mensuales · sin commitment 12m forzado · sin exit fee
  • Equipo público · founder visible · engineering blog

Si AI Empire no pasa tu checklist · está bien. Es pre-revenue · 2 clínicas demo · no es para clínica buscando vendor maduro. Es para clínica que valora transparencia · arquitectura moderna · founder accesible directo.

Disclaimer: este artículo es framework general due diligence · NO sustituye asesoramiento legal ni de compras. Consulta abogado especializado en contratos SaaS antes de firmar nada significativo. Las cláusulas concretas dependen de jurisdicción · sector · volumen contrato. AI Empire NO ofrece servicio jurídico ni de compras. La lista de red flags es orientativa · no exhaustiva.

Lectura relacionada

Otros artículos que pueden ayudarte a profundizar en lo mismo.

Negocio · 14 min

Migración de software clínico sin perder pacientes · framework de 60 días

Framework práctico de 60 días para migrar de Doctoralia · Klinikare · Dentalink o cualquier software clínico sin perder ni un paciente. Expo

Leer artículo
Negocio · 15 min

Métricas críticas en clínica dental · qué medir (y qué ignorar) en 2026

Framework de 12 métricas críticas dashboard clínica dental 2026. Revenue · operativa · paciente · marketing. Qué medir · qué reportar a inve

Leer artículo
Negocio · 15 min

Cohort analysis en clínica privada · cómo medir retención de pacientes 2026

Framework para hacer cohort analysis en clínica privada · qué retiene pacientes 12-24 meses · métricas clave · ejemplos numéricos · errores

Leer artículo

Deja de regalar ingresos.
Activa tu Revenue OS.

14 días gratis · setup completo incluido · sin permanencia. Si en 14 días no recuperas mínimo 1 cita atribuible al bot · te devolvemos lo pagado y archivamos sin preguntas.

Activar gratis 14 díasAgendar demo 15 min

¿Prefieres ver demo grabada antes? · analiza tus reseñas gratis · audit pre-onboarding para tu clínica · 5 min · cero compromiso.