El presente Acuerdo de Tratamiento de Datos ("ATD") se formaliza entre
El profesional sanitario, ("Responsable del tratamiento") y
Wellspect S.L.U., sociedad registrada en España con número de identificación fiscal B-67482463 y domicilio social en Pl. d'Europa 31, Planta Baja, L'hospitalet de Llobregat (Barcelona, España, y sus filiales ("Encargado del tratamiento")
El Responsable del tratamiento y el Encargado del tratamiento se denominan "Parte" y conjuntamente "Partes".
Antecedentes y objetivo
El Responsable del Tratamiento ha decidido utilizar la plataforma HIGEA proporcionada por el Procesador (el "Servicio") definida en las Condiciones del Programa HIGEA (las "Condiciones").
El Encargado del tratamiento tratará, por cuenta del Responsable del tratamiento, datos personales de los que éste es responsable ("Datos personales"). Los Datos Personales se refieren a la comunicación del Responsable con sus pacientes.
El objeto del presente ATD es regular el tratamiento de Datos Personales por parte del Encargado en el contexto del Servicio, teniendo en cuenta los requisitos de la Legislación Aplicable en materia de Protección de Datos.
Definiciones
Las definiciones sin mayúscula inicial, es decir, "tratamiento", "interesado", "violación de datos personales" tienen el mismo significado que en el RGPD. Las definiciones en singular tienen el mismo significado si se utilizan en plural.
|
"Legislación aplicable en materia de protección de datos" |
Significa el GDPR y las leyes nacionales de protección de datos que implementan o complementan el GDPR y, cuando corresponda, las opiniones, la orientación vinculante y las decisiones publicadas por las autoridades de supervisión, el tribunal u otra autoridad competente aplicable al procesamiento de Datos Personales en virtud de este ATD. |
|
"GDPR" |
Se refiere al Reglamento UE 2016/679 sobre protección de datos. |
|
"Medidas de seguridad" |
Las medidas técnicas y organizativas necesarias para cumplir la legislación aplicable en materia de protección de datos, enumeradas en el Apéndice B. |
|
"SCC" |
Significa (i) las cláusulas contractuales tipo de la UE adoptadas por la Decisión 2021/914 de la Comisión Europea de 4 de junio de 2021; (ii) en la medida aplicable, cualquier futura decisión de la Comisión Europea que modifique o sustituya esta decisión; o (iii) durante cualquier período de gracia concedido en virtud de dicha decisión aplicable, la versión anterior de la misma. |
|
"Tercer país" |
País no perteneciente a la UE ni al EEE. |
Tratamiento de datos
-
Especificación del tratamiento de datos
- En el Apéndice A se describen las especificaciones relativas a la naturaleza, el alcance, la finalidad y la duración del tratamiento de los Datos Personales.
-
Responsabilidad del Responsable de tratamiento
- El Responsable del Tratamiento es responsable de que el tratamiento de los Datos Personales se lleve a cabo de conformidad con la Legislación Aplicable en materia de Protección de Datos en su calidad de Responsable del Tratamiento.
-
Instrucciones del Responsable
- El Encargado del Tratamiento se compromete a cumplir en todo momento la presente DPA y la Legislación Aplicable en materia de Protección de Datos.
- El Encargado del tratamiento tratará los Datos personales únicamente de conformidad con las instrucciones documentadas del Responsable del tratamiento en el presente ATD, a menos que la legislación aplicable de la UE o de los Estados miembros a la que esté sujeto el Encargado del tratamiento exija otra cosa. En tal caso, el encargado del tratamiento informará al responsable del tratamiento de dicha obligación legal, a menos que la ley lo prohíba. El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones documentadas del responsable del tratamiento infringen la legislación aplicable en materia de protección de datos o si las instrucciones están incompletas o faltan. Cualquier modificación de las instrucciones deberá acordarse por separado y por escrito entre las Partes, incluidos, entre otros, los cambios relativos al apéndice B.
- El Encargado del Tratamiento no tratará los Datos Personales para sus propios fines ni para otros fines, salvo los establecidos en la presente ATD, en el Acuerdo y en la Política de Privacidad. El Procesador no utilizará los Datos Personales para ninguno de sus propios fines (independientemente de si los Datos Personales se convierten a un formato anonimizado y/o agregado) distintos de los expresamente acordados por el Controlador y, en particular, no tiene derecho a transmitir los Datos Personales a terceros (excepto a Subprocesadores permitidos, siempre y cuando sea necesario para prestar servicios de conformidad con el presente ATD).
-
Medidas técnicas y organizativas
- Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Responsable y el Encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de conformidad con el artículo 32 del RGPD. El encargado del tratamiento aplicará las medidas de seguridad que figuran en el apéndice B.
-
Controles y otras obligaciones del encargado del tratamiento
- El Encargado del tratamiento restringirá el acceso a los Datos personales a las personas que los necesiten en su trabajo, estén comprometidas con la confidencialidad y tengan la formación adecuada para tratar los Datos personales, y se asegurará de que sus empleados y agentes estén informados en todo momento sobre la presente ATD y las instrucciones facilitadas por el Responsable del tratamiento, y se adhieran a ellas.
- El encargado del tratamiento informará sin demora al responsable del tratamiento de cualquier comunicación con las autoridades de protección de datos, o si tiene motivos para creer que se establecerá tal contacto, que guarde relación con el tratamiento de datos personales o pueda tener importancia para el mismo. En caso de que un interesado, las autoridades de protección de datos u otros terceros soliciten información al responsable del tratamiento relacionada con el tratamiento de datos personales, el responsable del tratamiento la remitirá inmediatamente al responsable del tratamiento. Posteriormente, el encargado del tratamiento no podrá divulgar los datos personales u otra información sobre el tratamiento de datos personales sin instrucciones previas del responsable del tratamiento.
- En caso de que un interesado u otro tercero presente una reclamación ante el responsable del tratamiento basada en el tratamiento de datos personales por parte del responsable del tratamiento, éste indemnizará al responsable del tratamiento y lo mantendrá indemne frente a todas las pérdidas, reclamaciones o procedimientos derivados de que el responsable del tratamiento no haya tratado los datos personales de conformidad con el presente ATD.
-
Asistencia del Procesador
- Teniendo en cuenta la naturaleza del procesamiento y la información disponible, el Procesador debe ayudar al Controlador con las evaluaciones de impacto de protección de datos en relación con la protección de datos y la consulta previa con la autoridad de supervisión de conformidad con el artículo 35-36 GDPR, a petición del Controlador.
-
Auditorías
- El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otro auditor encargado por el responsable del tratamiento (aunque no sea un competidor directo del encargado del tratamiento).
- El transformador deberá ser informado de la inspección con al menos cuatro (4) semanas de antelación a la fecha prevista para la inspección, especificando el alcance y el propósito de la misma. La auditoría se realizará durante el horario laboral normal del transformador, sin perturbar las operaciones normales. El transformador tendrá derecho a una compensación razonable por los costes asociados a una auditoría o inspección.
-
Violación de datos personales
- Si el encargado del tratamiento tiene conocimiento de una violación de datos personales, deberá informar al responsable del tratamiento sin demora indebida y de conformidad con la legislación aplicable en materia de protección de datos.
-
Subprocesadores
- Se concede al encargado del tratamiento una autorización general para contratar a otros encargados ("subencargados del tratamiento") para el tratamiento de datos personales por cuenta del responsable del tratamiento. Cuando el Encargado del tratamiento contrate a un Subencargado en virtud de esta disposición, se asegurará de que el contrato celebrado entre el Encargado y cualquier Subencargado imponga, como mínimo, obligaciones de protección de datos no menos estrictas que las establecidas en el presente ATD. El encargado del tratamiento notificará por escrito al responsable del tratamiento cualquier cambio previsto en relación con la adición o sustitución de subencargados del tratamiento, a lo que el responsable del tratamiento podrá oponerse. Si el responsable del tratamiento no formula objeción alguna en el plazo de catorce (14) días a partir de la fecha de recepción de la notificación, se entenderá que el responsable del tratamiento no ha formulado objeción alguna.
- En caso de objeción, el Responsable del tratamiento tendrá derecho a subsanar la objeción del Responsable del tratamiento. Si no se dispone razonablemente de ninguna otra opción y no se ha subsanado la objeción en el plazo de treinta (30) días desde la recepción de la objeción, las Partes podrán rescindir la parte afectada del Servicio o del Acuerdo.
- Si un subencargado del tratamiento incumple sus obligaciones en materia de protección de datos, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones del subencargado.
-
Transferencias a terceros países
- El procesador puede transferir datos personales a terceros países fuera de la UE o del Espacio Económico Europeo ("EEE"). El Procesador debe garantizar la existencia de un mecanismo de transferencia válido para la transferencia de Datos Personales a un Tercer País. Dicho mecanismo de transferencia puede ser una decisión de adecuación, un SCC u otras disposiciones equivalentes en virtud del Capítulo V del GDPR, según sea aplicable en cada momento.
- Si se aplican las SCC como base jurídica para la transferencia de Datos Personales a un Tercer País, el Encargado del Tratamiento, a su entera discreción, podrá determinar qué versión y qué módulos de las SCC se utilizarán en cada caso.
- Ambas partes son responsables de garantizar que las posibles medidas complementarias que se apliquen cumplan los requisitos relativos a la seguridad adecuada de los Datos Personales objeto de tratamiento con arreglo a la legislación aplicable en materia de protección de datos. A petición razonable del Responsable del tratamiento, el Encargado facilitará información suficiente al Responsable del tratamiento para su evaluación.
General
-
- Compensación
- Además de lo establecido en el presente ATD, el encargado del tratamiento tendrá derecho a una compensación razonable por cumplir las instrucciones escritas del responsable del tratamiento, a menos que la acción solicitada se establezca específicamente en el acuerdo.
- Responsabilidad
- La responsabilidad hacia cualquier persona que haya sufrido daños como resultado de una infracción del GDPR o de este ATD debe tratarse de conformidad con el artículo 82 GDPR.
- Cada Parte debe responder por sí misma de las sanciones administrativas o multas impuestas por las autoridades de control o los tribunales debido a su tratamiento.
- Todos los demás daños y responsabilidades se tratarán de conformidad con el Acuerdo, incluida su limitación de daños.
- Terminación
- El presente ATD será aplicable mientras el Encargado del tratamiento trate Datos personales por cuenta del Responsable del tratamiento. Tras la finalización, el procesador eliminará o devolverá todos los datos personales al controlador según lo solicitado, a menos que los datos personales deban conservarse de acuerdo con la legislación de protección de datos aplicable.
- Derechos de terceros
- El responsable del tratamiento y el encargado del tratamiento acuerdan que todas las "filiales de Wellspect" (tal como se definen más adelante) dentro del Espacio Económico Europeo son terceros beneficiarios del presente ATD y tienen derecho a los derechos y beneficios que se derivan del mismo y pueden hacer cumplir sus disposiciones como si fueran parte del mismo.
- Afiliadas de Wellspect significará cualquier persona o entidad que controle, sea controlada por o esté bajo control común con el Controlador, incluyendo pero sin limitarse a cualquier persona o entidad que pueda convertirse en tales afiliadas durante la vigencia de este ATD. Únicamente para los fines de esta definición, "control" significa (a) poseer, directa o indirectamente, el poder de dirigir la gestión o las políticas de una persona o entidad, ya sea a través de la propiedad de valores con derecho a voto o por contrato relacionado con los derechos de voto o el gobierno corporativo, o (b) poseer, directa o indirectamente, más del 50% de los valores con derecho a voto en circulación u otra participación en la propiedad de dicha persona o entidad.
- Legislación aplicable y resolución de litigios
- Este ATD y cualquier disputa o reclamación que surja de o en conexión con él o su objeto o formación (incluyendo disputas o reclamaciones no contractuales) se regirán e interpretarán de acuerdo con las leyes de España.
- Las Partes acuerdan irrevocablemente que los jueces y tribunales de Barcelona, España, tendrán jurisdicción exclusiva para resolver cualquier disputa o reclamación que surja de o en relación con este ATD.
- Compensación
Apéndice A
Alcance del tratamiento |
|
|
Naturaleza y finalidad del tratamiento |
Los fines del tratamiento son el alojamiento del Servicio por parte del Procesador y el almacenamiento de los datos personales comunicados a través del Servicio entre el Controlador y sus pacientes, tal como se establece en el Acuerdo y en la presente ATD.
El Encargado del Tratamiento tratará los Datos Personales con el fin de:
|
|
Categorías de interesados |
|
|
Categorías de datos personales |
|
|
Datos sensibles |
|
|
Duración del tratamiento |
|
|
Subprocesadores |
|
Apéndice B
Las principales medidas de seguridad que debe aplicar el procesador son las siguientes:
- Se realizan copias de seguridad diarias, semanales y mensuales de los servidores externos y en la nube.
- Protocolo de seguridad HTTPS
- Datos cifrados
- Usuarios individuales, es decir, no cuentas genéricas cuyos usuarios no puedan identificarse de forma unívoca.
- Acceso a todos los sistemas mediante nombre de usuario y contraseña personalizados (inicio de sesión con doble autenticación)
- Los cortafuegos, antivirus y parches de seguridad informática se mantienen al día.
- Las sesiones de usuario se bloquean tras un periodo de inactividad de 5 minutos.
- Solicitud automática de cambio de contraseña cada 3 meses.
- Los sistemas exigen el uso de contraseñas seguras que incluyan mayúsculas, minúsculas, símbolos y un mínimo de 8 caracteres.
- La información está clasificada y es accesible en función de las funciones y departamentos que ocupa cada usuario, de modo que cada empleado sólo puede acceder a lo necesario para realizar sus tareas.
- Pruebas de recuperación de datos en todos los servidores de la empresa cada 2 años de acuerdo con el Plan de Contingencia.
- Audit Trail activado permanentemente en todos los sistemas que contienen datos clínicos y de investigación.
- Uso de datos seudonimizados (codificados) en todos los sistemas con información clínica de terceros.