Acuerdo de Tratamiento de Datos Personales
El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el "Acuerdo") regula el tratamiento de datos personales a realizar por Healthium - Healthcare Software Solutions, S.A. (en adelante, el "Subcontratista") en nombre y por cuenta de la entidad, física o jurídica, que se suscriba al servicio Nutrium, a través del sitio web Nutrium, con la finalidad de prestar servicios de nutrición clínica y servicios relacionados con la nutrición (en adelante, el "Responsable del Tratamiento"), denominadas conjuntamente las "Partes". En consecuencia, considerando que:
Las Partes, plenamente conscientes de la significativa importancia del pleno cumplimiento de todos los requisitos relativos a la protección de datos de carácter personal, aceptan libre y recíprocamente el presente Acuerdo en los siguientes términos.
Las expresiones "responsable", "subcontratista", "datos personales" y "tratamiento", así como cualesquiera otras expresiones y términos relacionados, se interpretarán de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE - Reglamento General de Protección de Datos ("RGPD"), y la Ley nº 58/2019, de 8 de agosto. º 58/2019, de 8 de agosto, por la que se garantiza la implementación en el ordenamiento jurídico nacional del RGPD, complementado por la legislación nacional o europea, las interpretaciones y directrices emitidas por las autoridades europeas y nacionales, las cláusulas modelo aprobadas por la Comisión Europea o las autoridades de control, así como cualquier jurisprudencia relevante (en conjunto, el "Régimen de Protección de Datos").
El presente Acuerdo tiene por objeto regular las obligaciones de ambas Partes en relación con el tratamiento de datos personales, tal y como se describe en el Anexo I (Condiciones de Tratamiento), por parte del Subcontratista en nombre y por cuenta del Responsable del Tratamiento.
En caso de incoherencia o conflicto entre el presente Acuerdo de Tratamiento de Datos y cualesquiera otros acuerdos o cláusulas, con independencia de que hayan sido acordados previamente entre las Partes, el contenido y las disposiciones del presente Acuerdo de Tratamiento de Datos prevalecerán y regirán las relaciones entre las Partes en lo que respecta al tratamiento de datos personales en el ámbito de los servicios prestados por Healthium.
El Subcontratista y, en su caso, sus representantes mantendrán, al menos hasta la finalización del presente Acuerdo, un registro de todas las actividades de tratamiento llevadas a cabo en el ámbito del presente Acuerdo, de conformidad con el artículo 30, apartado 2, del RGPD y a efectos del mismo. Este registro de actividades de tratamiento incluirá al menos la siguiente información:
El Subcontratista se compromete a aplicar las medidas técnicas y organizativas necesarias para proteger los datos personales tratados por cuenta del Responsable del Tratamiento contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizados o cualquier otro tratamiento ilícito de esos mismos datos personales. Estas medidas garantizarán un nivel de seguridad adecuado a los riesgos que presente el tratamiento, a la naturaleza de los datos que deban protegerse y a los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, incluidos, en su caso:
El Subcontratista se compromete a mantener la confidencialidad de todos los datos personales a los que haya tenido acceso o que le hayan sido transmitidos por el Responsable del Tratamiento en relación con la prestación de los servicios acordados con él.
El Subcontratista garantiza que sus empleados, independientemente de la naturaleza y validez de su relación con el Subcontratista (incluidos, entre otros, aquellos que cooperen con el Subcontratista sobre la base de contratos de derecho civil, proveedores de servicios, trabajadores, agentes, asistentes, representantes, socios, gerentes, administradores, abogados, trabajadores temporales, proveedores, consultores, auditores y becarios, en lo sucesivo denominados "empleados" o "personal") cumplen con las obligaciones establecidas en el presente Acuerdo.
El Subcontratista, con el fin de mantener su eficacia operativa, establece contratos con otras entidades que pueden tratar y procesar determinados datos personales, identificando una lista de estos Encargados en el Anexo III del presente Acuerdo. Con carácter general, el Responsable autoriza al Subcontratista a subcontratar a las entidades identificadas en el Anexo III para el tratamiento de los datos personales derivados del presente Acuerdo. Siempre que subcontrata a otra entidad, el Subcontratista garantiza que ésta cumplirá lo dispuesto en el Régimen de Protección de Datos y demás legislación aplicable mediante la celebración de un contrato escrito con las entidades que subcontrate, en el que se reflejen las mismas obligaciones de protección de datos establecidas en el presente Acuerdo.
El Subcontratista se compromete a informar al Responsable del Tratamiento de cualquier cambio previsto en el número o la sustitución de los subencargados que utiliza, y el Responsable del Tratamiento podrá oponerse a dichos cambios por escrito. Si el Responsable del Tratamiento se opone a los cambios y no está a favor de los argumentos esgrimidos y decide mantener al Subcontratista en la lista, se le dará la oportunidad de rescindir la suscripción con efecto inmediato, sin perjuicio del pago del importe prorrateado correspondiente al periodo de suscripción ya utilizado.
Si los datos son procesados por el subencargado del Subcontratista fuera de la Unión Europea/Espacio Económico Europeo, los requisitos para las transferencias internacionales de datos establecidos en el RGPD deben cumplirse antes de que comience dicho procesamiento.
La responsabilidad del Subcontratista frente a los subencargados prevista en los párrafos anteriores abarca a todas las entidades que actúen como subencargados en una cadena de subcontratación con el Subcontratista, independientemente de si su vínculo con el Subcontratista es directo o indirecto.
El Subcontratista será responsable de todos los daños y perjuicios causados al Responsable del Tratamiento que le sean directa y efectivamente imputables como consecuencia del tratamiento por su parte y/o por parte de sus empleados, prestadores de servicios o subcontratistas [de conformidad con la cláusula 8 (Subencargados del Subcontratista)] de datos de carácter personal infringiendo la normativa legal aplicable y/o lo dispuesto en el presente contrato.
El Subcontratista está obligado a notificar al Responsable del Tratamiento cualquier violación que potencialmente comprometa la seguridad de los datos de carácter personal que le conciernan, tales como la cesión, acceso, pérdida, alteración o comunicación a terceros accidental, no autorizada o ilícita, que infrinja el presente Acuerdo o el Régimen de Protección de Datos, o cualquier incidente que afecte o pueda afectar, directa o indirectamente, a la confidencialidad, integridad o autenticidad de los datos, tan pronto como sea posible en función de las circunstancias y sin dilaciones indebidas, y en todo caso a más tardar 72 horas después de que el Subcontrante tenga conocimiento del hecho.
La notificación a que se refiere el párrafo anterior deberá incluir toda la información pertinente relativa a los datos personales afectados, a saber:
En caso de violación o incidente, el Subcontratista investigará el incidente o la violación de los datos personales, adoptará las medidas adecuadas para garantizar la seguridad de los datos personales y mitigar sus posibles efectos negativos sobre los interesados afectados y evitará cualquier incidente o violación de los datos personales en el futuro.
El Subcontratista llevará a cabo auditorías de seguridad de su infraestructura y del entorno informático que utilice para tratar datos personales, como se indica a continuación:
Cada auditoría dará lugar a la generación de un informe de auditoría, que el Subcontratista pondrá a disposición en su sitio web o en cualquier otro lugar identificado por él. El informe se considerará Información Confidencial de Healthium y revelará claramente cualquier hallazgo material del auditor. El Subcontratista corregirá sin demora cualquier problema planteado en cualquier informe a satisfacción del auditor. Si así lo solicita el Responsable del Tratamiento, el Subcontratista le facilitará cada informe.
Los informes podrán estar sujetos a limitaciones de no divulgación y distribución por parte de Healthium y del auditor.
En la medida en que los requisitos de auditoría del Responsable del Tratamiento en virtud de las respectivas leyes de protección de datos no puedan satisfacerse razonablemente mediante informes de auditoría, documentación o información sobre cumplimiento que el Subcontratista ponga a disposición general de sus clientes, el Subcontratista responderá a las instrucciones adicionales de auditoría del Responsable del Tratamiento. Antes del inicio de una auditoría, el Subcontratista y el Responsable del Tratamiento acordarán mutuamente el alcance, el calendario, la duración, los requisitos de control y prueba y los honorarios de la auditoría, siempre que dicho requisito de acuerdo no permita al encargado del tratamiento retrasar injustificadamente la ejecución de la auditoría. En la medida en que sea necesario para llevar a cabo la auditoría, el Subcontratista pondrá a su disposición los sistemas de tratamiento, las instalaciones y la documentación de apoyo pertinentes para el tratamiento de datos personales por parte del Subcontratista y sus subencargados. Dicha auditoría será llevada a cabo por una empresa de auditoría independiente y acreditada, durante el horario laboral normal, con un preaviso razonable al Responsable del Tratamiento y con sujeción a procedimientos de confidencialidad razonables. El Responsable del Tratamiento será responsable de todos los costes y honorarios relacionados con dicha auditoría, incluidos todos los costes y honorarios razonables por todo el tiempo que el Subcontratista dedique a dicha auditoría, además de los honorarios por los servicios prestados por el Subcontratista. Si el informe de auditoría generado como resultado de la auditoría del Manipulador incluye cualquier hallazgo de incumplimiento material, el Manipulador compartirá dicho informe de auditoría con el Subcontratista y el Subcontratista subsanará sin demora cualquier incumplimiento material.
Nada en esta sección del presente Acuerdo varía o modifica los términos del RGPD o afecta a los derechos de cualquier autoridad supervisora o sujeto de datos en virtud de las respectivas leyes de Protección de Datos.
Si el Responsable del tratamiento es una "entidad cubierta" o un "asociado comercial" e incluye "información sanitaria protegida" en los Datos del cliente o los Datos de servicios profesionales, tal y como se definen estos términos en la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996, en su versión modificada, y en la normativa promulgada en virtud de la misma (conjuntamente, "HIPAA"), la ejecución del contrato con el Responsable del tratamiento incluye la ejecución del Acuerdo de asociado comercial de HIPAA ("BAA").
El presente Acuerdo permanecerá en vigor mientras se mantenga la relación de servicio entre el Responsable del tratamiento y el Subcontratista.
A la terminación del presente Acuerdo, el Subcontratista se compromete, a elección del Responsable del Tratamiento, a suprimir o devolver al Responsable del Tratamiento todos los soportes que contengan datos de carácter personal que éste le haya facilitado, suprimiendo las copias existentes, salvo en los casos en que la ley exija la conservación de los datos.
Se autoriza a las Partes a comunicar el contenido del presente Acuerdo y los elementos relacionados con el mismo a la autoridad de control competente.
El presente Acuerdo se regirá por las disposiciones aplicables de la legislación portuguesa.
Todas las cuestiones derivadas del presente Acuerdo serán juzgadas por los tribunales del distrito de Braga, con renuncia expresa a cualquier otra jurisdicción.
A efectos de las comunicaciones relacionadas con la seguridad y la protección de datos, las Partes determinan que las direcciones que figuran a continuación son suficientes y adecuadas para los fines del Subcontratista, así como las direcciones indicadas por el Responsable del Tratamiento en el momento del registro. Si el Responsable del Tratamiento desea plantear cuestiones relacionadas con la seguridad y la protección de datos al Subcontratista, podrá hacerlo por los siguientes medios:
Pedro Bacelar
Responsable de Protección de Datos
o
Rua Andrade Corvo, nº 242, 1º andar, Sala 106
4700-204 Braga
+351 935 455 75
El Responsable del Tratamiento trata los datos personales de sus clientes para la prestación de asistencia sanitaria y para la gestión de la relación con los clientes y/o los datos personales de sus empleados para la gestión de su relación con ellos.
En virtud del Contrato acordado entre las Partes, el Subcontratista se compromete a prestar al Responsable del Tratamiento los servicios descritos en las Condiciones Generales vigentes y en la Política de Privacidad vigente.
En este contexto y con esta finalidad, el Subcontratista tendrá acceso a los datos personales de los clientes y/o empleados del Responsable del Tratamiento.
La duración del tratamiento dependerá de la duración del mencionado contrato y respetará los periodos de conservación establecidos y divulgados en cada momento por el Responsable del Tratamiento.
Datos de categoría simple y especial, a saber:
Datos relativos a la salud de la persona.
Clientes y/o empleados del Responsable del Tratamiento.
Tal como se describe en el Acuerdo, el Subcontratista aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta las técnicas más avanzadas, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos, de probabilidad y gravedad variables, para los derechos y libertades de los interesados.
De conformidad con el apartado 1 del presente Anexo y con el Anexo I, el encargado del tratamiento deberá cumplir los siguientes requisitos mínimos:
Healthium puede contratar y utilizar determinados procesadores de datos de terceros ("Subencargados") para prestar servicios a nuestros clientes. Este apéndice contiene información importante sobre la identidad, ubicación y función de cada Subencargado del Tratamiento.
Estos Subencargados pueden tener acceso a los datos personales proporcionados directamente por nuestros usuarios o a los que nosotros podemos tener acceso para llevar a cabo los servicios contratados. Actualmente utilizamos la siguiente lista de Subencargados del tratamiento para prestar servicios de infraestructura, atención al cliente y plataforma. Tenga en cuenta que no todos los Subencargados se utilizan para prestar todos los servicios que ofrecemos y que algunos solo participan en la prestación de servicios específicos.
Subencargado | Ubicación | Página Web |
---|---|---|
Acute | Estados Unidos | https://getacute.io/ |
Braintree | Estados Unidos | https://www.braintreepayments.com/ |
Ebanx | Brasil | https://www.ebanx.com/en/ |
Easy Pay | Portugal | https://www.easypay.pt/a-easypay/ |
Intercom | Estados Unidos | https://www.intercom.com/ |
Pipedrive | Europa | https://www.pipedrive.com/ |
Slack | Estados Unidos | https://slack.com/ |
Atención al Cliente
Subencargado | Ubicación | Página Web |
---|---|---|
Amplitude | Estados Unidos | https://amplitude.com/ |
Docusign | Estados Unidos | https://www.docusign.com/ |
Google Services | Europa | https://about.google/products/ |
Hotjar | Europa | https://www.hotjar.com |
Mailchimp | Estados Unidos | https://mailchimp.com |
Paypal | Estados Unidos | https://www.paypal.com/ |
Wise | Reino Unido | https://wise.com/ |
Zapier | Estados Unidos | https://zapier.com/ |
Plataformas
Subencargado | Ubicación | Página Web |
---|---|---|
Amazon Web Services | Irlanda | https://aws.amazon.com/ |
Atlassian | Países Bajos | https://www.atlassian.com/ |
CircleCi | Estados Unidos | https://circleci.com/ |
Digital Ocean | Europa | https://www.digitalocean.com/ |
Mailjet | França | https://www.mailjet.com/ |
Microsoft Azure | Europa | https://azure.microsoft.com |
Sentry | Estados Unidos | https://sentry.io/ |
Twilio | Estados Unidos | https://www.twilio.com/ |
Infraestructuras de Servicios Digitales