DPA Centros médicos

Contrato de Encargado de Tratamiento Centros Médicos

Fecha última modificación: [17/11/2022]

INTRODUCCIÓN El presente contrato regula el Contrato de Encargado del Tratamiento (en adelante el «Contrato de Encargado» y/o “Contrato”) que forma parte del Contrato de Colaboración (en adelante “Acuerdo”) entre el CENTRO MÉDICO por la contratación de los servicios de EXHEUS SL.De conformidad con el Acuerdo Principal, EXHEUS ofrecerá servicios de test genéticos a  los CENTROS MÉDICOS, de modo que en términos de materia de protección de datos, EXHEUS asumirá el rol de ENCARGADO DEL TRATAMIENTO del tratamiento de datos de los interesados, tal y como se describe en el presente Contrato y, el CENTRO MÉDICO asumirá el rol de RESPONSABLE DEL TRATAMIENTO.El presente Contrato de Encargado prevalecerá, en referencia a la regulación en materia de protección de datos ante cualquier cláusula del Acuerdo Principal y/o posteriores acuerdos entre las partes.Nota Importante: en caso de necesitar/querer una copia firmada del presente Contrato de Encargado contáctenos a través de nuestro correo electrónico: dpo@exheus.com para gestionar tu solicitud.

SECCIÓN I

VISIÓN GENERAL

1. Alcance y finalidad

Con el fin de regular el tratamiento de los datos personales objeto del presente Contrato de Encargado y sustituyendo cualquier cláusula anterior relativa a esta materia, ambas Partes acuerdan el otorgamiento del presente Anexo, que se regirá por el GDPR del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (en adelante, «GDPR«), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Digitales y Garantía de los Derechos Digitales (en adelante, «LOPDGDD«), su normativa de desarrollo y, en particular, por lo siguiente:

2. Definiciones

Las definiciones que pueden encontrarse a lo largo de este Contrato tendrán el significado de conformidad con las disposiciones del artículo 4 del GDPR.

Las funciones, deberes y obligaciones respectivas del Responsable del Tratamiento así como del Encargado del Tratamiento se definen en el presente Anexo.

En el Apéndice I se identifican las Partes según los roles asumidos en materia de protección de datos. 

SECCIÓN II

OBLIGACIONES DE LAS PARTES

3. Descripción del tratamiento de datos

Los detalles de los tratamientos de los datos personales, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Encargado del Tratamiento, se especifican en el Apéndice II.

4. Obligaciones de las Partes 
   1. Instrucciones 
      1. El Encargado del Tratamiento sólo tratará los datos personales siguiendo las instrucciones documentadas por parte del Responsable del Tratamiento, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el propio Encargado del Tratamiento. En este caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El Responsable del Tratamiento también podrá dar instrucciones posteriores mientras dure el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
      2. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, a su juicio, las instrucciones dadas por el Responsable del Tratamiento infringen el GDPR o las disposiciones de protección de datos de la Unión o de los Estados miembros aplicables.

2.    Limitación de la finalidad 

El Encargado del Tratamiento sólo tratará los datos personales para la finalidad o finalidades específicas en el presente Anexo, salvo que reciba otras instrucciones documentadas del Responsable del Tratamiento a lo largo de la relación contractual.

3.    Duración del tratamiento de los datos personales 

El tratamiento por parte del Encargado del Tratamiento sólo tendrá lugar durante la duración especificada en el Apéndice II.

4.    Seguridad del tratamiento 

El Encargado del Tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Apéndice III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque su destrucción accidental o ilícita, su pérdida, su alteración, su divulgación no autorizada o el acceso a los mismos (violación de los datos personales). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.

El Encargado del Tratamiento concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. El Encargado del Tratamiento se asegurará de que las personas autorizadas a tratar los datos personales recibidos se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.

5.    Datos sensibles 

En el presente caso, el Encargo de Servicios hace referencia y tratamiento a datos sensibles, en concreto datos genéticos del interesado, de modo que el Encargado del Tratamiento aplicará restricciones específicas y/o garantías adicionales para asegurar la protección de dichos datos. Estas restricciones y/o garantías, se verán reflejadas en las mismas cláusulas del presente contrato así como en las medidas técnicas y organizativas detalladas en el Apéndice III.

6.    Documentación y Cumplimiento 

Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.

El Encargado del Tratamiento atenderá rápida y adecuadamente las consultas del Responsable del Tratamiento sobre el tratamiento de los datos de conformidad con las presentes cláusulas.

El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en las presentes cláusulas y que se derivan directamente del GDPR. A petición del Responsable, el Encargado del Tratamiento, también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el Encargado.

El Responsable del Tratamiento podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías también podrán incluir inspecciones en los locales o instalaciones físicas del Encargado del Tratamiento y, en su caso, se llevarán a cabo con una antelación razonable, siempre que esta sea avisada y dentro del horario laboral del Encargado del Tratamiento.

Las Partes pondrán la información mencionada en la presente cláusula, incluidos los resultados de cualquier auditoría, a disposición de la(s) autoridad(es) de control competente(s) que lo solicite.

7.    Uso de Subencargados

AUTORIZACIÓN GENERAL POR ESCRITO: El Encargado del Tratamiento cuenta con la autorización general del Responsable del Tratamiento para la contratación de subencargados, los cuales están listados en el Anexo IV.

El Encargado del Tratamiento informará específicamente por escrito al Responsable del Tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con 30 días de antelación, dando así al Responsable del Tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. El Encargado del Tratamiento facilitará al Responsable del Tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.

A petición del Responsable del Tratamiento, el Encargado del Tratamiento proporcionará al Responsable del Tratamiento una copia del Contrato de Encargado con el subencargado y de cualquier modificación posterior. En la medida necesaria para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el Encargado del Tratamiento podrá redactar el texto o  eliminar aquella información confidencial del contrato antes de compartir la copia.

El Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento del cumplimiento de las obligaciones del subencargado de conformidad con su contrato con el subencargado. El Encargado del Tratamiento notificará al Responsable del Tratamiento cualquier incumplimiento de sus obligaciones contractuales por parte del subencargado.

El Encargado del Tratamiento acordará con el subencargado una cláusula de tercero beneficiario por la que -en caso de que el Encargado haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el Responsable del Tratamiento tendrá derecho a rescindir el contrato de Subencargo y a ordenar al subencargado la eliminación o la devolución de los datos personales que están bajo la responsabilidad del Responsable del Tratamiento.

8.    Transferencias internacionales 

Toda transferencia de datos a un tercer país o a una organización internacional por parte del Encargado del Tratamiento se realizará únicamente sobre la base de instrucciones documentadas por parte del Responsable del Tratamiento o para cumplir un requisito específico en virtud de la legislación de la Unión o de los Estados miembros a la que esté sujeto el Encargado del Tratamiento y tendrá lugar de conformidad con el capítulo V del GDPR.

El Responsable del Tratamiento acepta que, cuando el Encargado del Tratamiento contrate a un subencargado de conformidad con la cláusula 4.7. para llevar a cabo actividades de tratamiento específicas (por cuenta del Responsable del Tratamiento) y dichas actividades de tratamiento impliquen una transferencia de datos personales en el sentido del capítulo V del GDPR, el Encargado y el subencargado del tratamiento pueden garantizar el cumplimiento del capítulo V del GDPR mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, del GDPR, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales tipo.

5. Asistencia al Responsable del Tratamiento 

El Encargado del Tratamiento notificará sin demora al Responsable del Tratamiento cualquier solicitud que haya recibido del interesado. No responderá a la solicitud por sí mismo, a menos que el Responsable del Tratamiento le autorice a hacerlo.

El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados de ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones de conformidad con las letras a) y b), el Encargado del Tratamiento cumplirá las instrucciones del Responsable del Tratamiento.

Además de la obligación del Encargado del Tratamiento de asistir al Responsable del Tratamiento en virtud de la cláusula 8(b), el Encargado del Tratamiento deberá además asistir al Responsable del Tratamiento para garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que dispone el encargado:

La obligación de realizar una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una «Evaluación de Impacto sobre la Protección de Datos«) cuando un tipo de tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas;

La obligación de consultar a la(s) autoridad(es) de control competente(s) antes del tratamiento cuando una Evaluación de Impacto sobre la Protección de Datos indique que el tratamiento supondría un alto riesgo en ausencia de medidas adoptadas por el Responsable del Tratamiento para mitigarlo;

La obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al Responsable del Tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos;

Las obligaciones del artículo 32 del GDPR.

Las Partes establecerán en el Apéndice III las medidas técnicas y organizativas apropiadas por las que el Encargado del Tratamiento deberá asistir al Responsable del Tratamiento en la aplicación de la presente cláusula, así como el alcance y la extensión de la asistencia requerida.

6.  Notificación de la Violación de Datos Personales 

En caso de violación de los datos personales, el Encargado del Tratamiento cooperará con el Responsable del Tratamiento y le prestará asistencia para que este cumpla sus obligaciones en virtud de los artículos 33 y 34 del GDPR, cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.

1.    Violación de datos relativa a los datos tratados por el Encargado del Tratamiento

En el caso de que el Encargado del Tratamiento tenga conocimiento y verifique cualquier destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilícito a los Datos Personales del Responsable («Vulneración de la Seguridad«), el encargado deberá notificar al Responsable del Tratamiento las circunstancias generadas sin dilación indebida y, en todo caso, en un plazo que no excederá de 48 horas desde el conocimiento efectivo de las mismas. 

Dicha notificación deberá contener, como mínimo:

• Una descripción de la naturaleza de la infracción (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);
• Los datos de un punto de contacto en el que se puede obtener más información sobre la violación de los datos personales;
• Sus probables consecuencias y las medidas adoptadas o que se proponen adoptar para hacer frente al incumplimiento, incluso para mitigar sus posibles efectos adversos.

Cuando, y en la medida en que no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, se proporcionará la información adicional, a medida que esté disponible, sin demoras indebidas.

Las Partes establecerán en el Apéndice III todos los demás elementos que debe proporcionar el Encargado del Tratamiento cuando asista al Responsable del Tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del GDPR.

SECCIÓN III

DISPOSICIONES FINALES

7.  Rescisión y finalización del Servicio

Sin perjuicio de lo dispuesto en el GDPR, en caso de que el Encargado del Tratamiento incumpla las obligaciones que le incumben en virtud de las presentes Cláusulas, el Responsable del Tratamiento podrá ordenar al encargado que suspenda el tratamiento de los datos personales hasta que este cumpla las presentes Cláusulas o se resuelva el contrato. El Encargado del Tratamiento informará sin demora al Responsable del Tratamiento en caso de que no pueda cumplir las presentes cláusulas, sea cual sea el motivo.

El Responsable del Tratamiento tendrá derecho a rescindir el contrato en la medida en que se trate de un tratamiento de datos personales de conformidad con las presentes cláusulas si: (a) el Encargado del Tratamiento incumple de forma sustancial o persistente las presentes Cláusulas o sus obligaciones en virtud del GDPR, y (b) el Encargado del Tratamiento incumple una decisión vinculante de un tribunal competente o de la(s) autoridad(es) de control competente(s) en relación con sus obligaciones en virtud de las presentes cláusulas o del GDPR.

El Encargado del Tratamiento tendrá derecho a rescindir el contrato en lo que respecta al tratamiento de datos personales con arreglo a las presentes cláusulas cuando, tras haber informado al Responsable del Tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la cláusula 4.1.1.2., el Responsable del Tratamiento insista en el cumplimiento de las instrucciones.

Tras la terminación del contrato, el Encargado del Tratamiento deberá, a elección del Responsable del Tratamiento, suprimir todos los datos personales tratados por cuenta del Responsable del Tratamiento y certificar al Responsable del Tratamiento que lo ha hecho, o bien devolver todos los datos personales al Responsable del Tratamiento y suprimir las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales. Hasta que se eliminen o devuelvan los datos, el Encargado del Tratamiento seguirá garantizando el cumplimiento de estas cláusulas.

APÉNDICE I

Lista de Partes

Responsable(s) del Tratamiento:

Nombre: CENTRO MÉDICO detallado en el Acuerdo

Dirección: la dirección indicada en el Acuerdo

Nombre de la persona de contacto, cargo y datos de contacto: datos indicados en el Acuerdo

Encargado(s) del Tratamiento:

Nombre: EXHEUS SL

Dirección: Plaza Pau Vila 1, Planta 2, Sector 2C (Edificio Palau de Mar), Barcelona, España

Nombre de la persona de contacto, cargo y datos de contacto: 

Pol Cervera Infantes

COO

pol.cervera@exheus.com

APÉNDICE II

Descripción del tratamiento

• Gestión y valoración del cuestionario de hábitos de vida que el paciente cumplimenta de forma previa a la extracción de sangre.
• Procesamiento de una muestra de sangre en la cual se procederá a la extracción del ARN y se realizará un análisis previo de los datos obtenidos para proceder a la secuenciación de la expresión de los genes (RNA) de la muestra de sangre, para culminar con posterioridad al análisis de dichos datos con el algoritmo de inteligencia artificial de EXHEUS para proceder a la emisión del informe final Objeto del Servicio contratado. 

Para poder ejecutar el tratamiento descrito anteriormente, EXHEUS contará con proveedores del servicio externos como centros colaboradores para realizar la extracción de la sangre así como laboratorios que realizarán la mencionada secuenciación del RNA.

Categorías de interesados cuyos datos personales se tratan:

Pacientes

Categorías de datos personales tratados:

• Datos identificativos del Paciente: nombre, apellidos, teléfono, correo electrónico y dirección postal.
• Datos sanitarios: hábitos de vida y ARN

Naturaleza del tratamiento: 

Recopilación, almacenamiento, adaptación, recuperación, consulta, utilización, restricción, borrado o destrucción.

Finalidad(es) para la que se tratan los datos personales por cuenta del Responsable del Tratamiento: Suministro del producto y/o servicios acordados en el Acuerdo entre las Partes que figuran en el encabezamiento del presente Contrato de Encargado. 

Duración del tratamiento: La duración de este Contrato está vinculada a la duración del establecido por las partes en el Acuerdo Principal.

APÉNDICE III

Medidas técnicas y organizativas que incluyen medidas técnicas y organizativas para garantizar la seguridad de los datos[1] 

1. Confidencialidad (Art. 32 párrafo 1 lit. b RGPD)     

a) Control de acceso

Las siguientes medidas pretenden evitar que personas no autorizadas accedan a nuestros sistemas de procesamiento de datos.

☐        Inicio de sesión personal e individual del usuario al iniciar sesión en el sistema

☐        Proceso de autorización de los derechos de acceso (incorporación/desconexión)

☐                    Limitación de los usuarios autorizados por niveles

☐        Política de contraseñas

☐        Procedimiento de contraseñas para las contraseñas (especificación de los parámetros de las contraseñas con respecto a la complejidad y el intervalo de actualización)

☐        Documentación electrónica de las contraseñas y protección de esta documentación contra el acceso no autorizado 

☐        Registro de acceso de los clientes en la Plataforma

☐        Inicio de sesión adicional en el sistema para aplicaciones específicas

☐        Bloqueo automático de los clientes tras un determinado periodo de tiempo sin actividad del usuario

b) Control de acceso

Hemos tomado las siguientes medidas para garantizar que las personas no autorizadas no tengan acceso a los datos personales tratados por nosotros.

☐        Administración y documentación de las diferentes autorizaciones

☐        Celebración de contratos de tratamiento de datos con proveedores externos seguros para el control y gestión del almacenamiento de datos de los usuarios de la Plataforma

☐        Evaluación/registro del procesamiento de datos

☐        Gestión de ejercicio de derechos a los usuarios de la Plataforma

☐        Perfiles/roles internos de los usuarios

☐        Cifrado de CD/DVD ROM, discos duros externos y/o ordenadores portátiles 

☐        Principio de doble control

☐        Separación de funciones 

☐        Destrucción experta de archivos y soportes de datos según la norma DIN 66399

☐        Políticas de privacidad específicas para la web así como para la contratación del Producto

c) Control de separación

Las siguientes medidas garantizan que los datos personales recogidos para diferentes fines se traten por separado. 

☐        Almacenamiento de conjuntos de datos en bases de datos separadas en la nube

☐        Procesamiento de datos en sistemas separados

☐        Derechos de acceso según la responsabilidad funcional

☐        Procesamiento de datos por separado mediante reglas de acceso diferenciadas

☐        Separación del entorno de desarrollo y de producción 

2. Integridad (Art. 32 párrafo 1 lit. b RGPD)

(a) Control de las transferencias

Se garantiza que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión o almacenamiento en los soportes de datos y que se pueda comprobar qué personas u organismos han recibido datos personales. Se han aplicado las siguientes medidas para garantizarlo: 

☐        Cifrado del soporte de almacenamiento de los ordenadores portátiles

☐        Transferencia segura de archivos

☐        Transporte seguro de datos (por ejemplo, SSL, ftps)

☐        Wi-Fi seguro

☐        «Sistema de gestión de dispositivos móviles»

☐        Procedimiento o Política para la gestión y el control de dispositivos

☐        Registro de la copia en la nube

☐        Campo de comentarios en la Plataforma (encriptación SSL)

☐        Soluciones cifradas en la nube para la transmisión datos 

b) Control de entrada

Las siguientes medidas garantizan la posibilidad de comprobar quién ha tratado los datos personales en los sistemas de tratamiento de datos y en qué momento. 

☐        Derechos de acceso

☐        Responsabilidades funcionales, responsabilidades organizativas.

☐        Principio de control múltiple de usuarios

3. Disponibilidad y capacidad (Art. 32 párrafo 1 lit. b RGPD)

Control de disponibilidad y control de capacidad

Las siguientes medidas garantizan que los datos personales estén protegidos contra la destrucción o pérdida accidental y estén siempre a disposición del cliente. 

☐        Concepto de seguridad para el software y las aplicaciones informáticas

☐        Procedimiento de copia de seguridad

☐        Proceso de almacenamiento de las copias de seguridad en la nube

☐        Garantizar el almacenamiento de datos en una red segura

☐        Instalación adecuada de las actualizaciones de seguridad

4. Procedimiento de revisión, apreciación y evaluación periódicas (Art. 32(1)(d) RGPD; Art. 25(1) RGPD)

a) Gestión de la protección de datos

Las siguientes medidas pretenden garantizar una organización que cumpla los requisitos básicos de protección de datos: 

☐                    Concepto de protección de datos

☐        Nombramiento de un Delegado de Protección de Datos (“DPO”)

☐        Compromiso de los empleados con el secreto de los datos y, en especial, los sensibles

☐        Formación suficiente de los empleados en materia de protección de datos

☐        Mantener una visión general de las actividades de tratamiento (Art. 30 RGPD)

☐        Realización de evaluaciones de impacto sobre la protección de datos cuando sea necesario (art. 35 RGPD)

☐                    Revisión interna extensiva de la seguridad de la información

☐        Definición del tratamiento de los datos personales sensibles por procesos de pseudoanonimización

b) Gestión de la respuesta a incidentes

Las siguientes medidas están diseñadas para garantizar la activación de los procesos de notificación en caso de violaciones de la protección de datos:

☐        Proceso de notificación de infracciones de la protección de datos a las autoridades de control de conformidad con el art. 4 para. 12 RGPD (Art. 33 RGPD) 

☐                    Proceso de notificación de las violaciones de la protección de datos a los afectados de acuerdo con el Art. 4 para. 12 RGPD (Art. 34 RGPD) 

c) Control de servicios

Las siguientes medidas garantizan que los datos personales sólo pueden ser tratados de acuerdo con las instrucciones. 

☐        Acuerdo sobre el tratamiento de datos con la regulación de los derechos y obligaciones del Proveedor de EXHEUS

☐        Proceso seguimiento de instrucciones

☐        Asignación de las personas de contacto y/o empleados responsables 

☐        Formación/instrucción de todos los empleados con derechos de acceso a la Plataforma y, en especial, a los datos sensibles de los clientes

☐        Compromiso de los empleados con el secreto de los datos y firma de Contratos de Confidencialidad 

☐        Acuerdo de sanciones contractuales por incumplimiento de instrucciones

☐        Control y seguimiento de la selección del proveedor de servicios

☐        Gestión estandarizada de los contratos para el control previo y el seguimiento de los proveedores de servicios

APÉNDICE IV

Lista de subencargados

Por motivos de confidencialidad y secreto comercial con nuestros proveedores el listado de subencargados no está disponible públicamente. En caso de querer más información sobre los subencargados o obtener acceso a una copia firmada a dicho listado al estar sujeto al presente Contrato, puedes contactar con nosotros por medio de nuestro correo electrónico dpo@exheus.com .