Contract
CONVENIO DE COLABORACIÓN ENTRE EL CONSORCIO HOSPITAL GENERAL UNIVERSITARI DE VALÉNCIA Y XXXXXX S.L. PARA LA PUESTA EN MARCHA DE UN PROGRAMA DE SEGUIMIENTO DE DIÁLISIS PERITONEAL DOMICILIARIA A TRAVÉS DEL SISTEMA INFORMÁTICO SHARESOURCE
En Valencia a 11 de diciembre de 2023
REUNIDOS
DE UNA PARTE, Xxxx Xxxxxxx Xxxxxxxx Xxxxxx, como Directora Gerente del Consorcio Hospital General Universitario de Valencia (en adelante Consorcio), en virtud del acuerdo del Consejo de Gobierno del Consorcio en sesión de 29 de septiembre de 2023, facultada para la firma de conformidad con lo establecido en Acuerdo de 12 de diciembre de 2003, del Consejo de Gobierno y del Presidente del Consejo, por el que se delegan atribuciones en materia de personal, de contratación administrativa y gestión económica en diversos órganos del Consorcio Hospital General Universitario de Valencia, apartado sexto. 6.2., con domicilio en Xxxxxxx Xxxx Xxxxxx xx 0 , 00000 xx Xxxxxxxx
Y DE OTRA PARTE, La Señora Xxxx Xxxxxx Xxxx Xxxxxxx provisto de DNI nº 00.000.000-S, Business Unit Head Southern Cluster xx Xxxxxx, S.L.(en adelante Xxxxxx) entidad domiciliada en Pol. Xxxxxxxxxx Xxxxxx 00, X/ Xxxxx xx Xxxxxx 0, (X.X. 46394) Ribarroja xxx Xxxxx - Valencia, con CIF X-00000000, y en su nombre y representación en su condición de apoderada de la sociedad en virtud de poder otorgado mediante escritura pública ante el Notario de Madrid Xxx Xxxxxxx Xxxxxx Xxxxxx.
Reconociéndose mutuamente capacidad suficiente y poder bastante, suscriben en nombre de las respectivas entidades el presente Convenio de colaboración y, a tal efecto
EXPONEN
PRIMERO.- Que el CONSORCIO tiene como objetivo principal el dar cobertura a las necesidades Asistenciales de la comunidad a la que sirve, asegurando la excelencia y eficiencia en el desarrollo de su actividad y consolidando la integración de las dimensiones asistencial, docente e investigadora.
SEGUNDO.- Que Xxxxxx, empresa que forma parte de la industria sanitaria, dispone de un sistema de seguimiento de diálisis peritoneal domiciliaria a través del sistema informático Sharesource.
TERCERO.- Que la firma del presente Convenio por las partes trae causa en el tratamiento de datos personales que Xxxxxx realiza, respecto a los de pacientes con insuficiencia renal que realizan su tratamiento desde su domicilio mediante el uso del equipo de diálisis peritoneal domiciliaria HomeChoice Claria y su seguimiento a través del sistema informático Sharesource
CUARTO.- Que ambas entidades consideran conveniente el colaborar en estos aspectos de interés común, en el que se encuentra la mejora de los procesos asistenciales.
Con la voluntad de las partes de establecer los cauces de colaboración necesarios se decide suscribir un Convenio de Colaboración de acuerdo a las siguientes,
CLÁUSULAS
PRIMERA. Objeto
El objeto del presente Convenio es la colaboración entre el Consorcio y Xxxxxx para el encargo del tratamiento de datos entre ambas partes para el almacenamiento y transmisión de datos de pacientes en la plataforma informática Sharesource.
SEGUNDA. Normativa de referencia
El presente Xxxxxxxx establece la privacidad y protección de los datos y las obligaciones aplicables al tratamiento (definido más abajo) de cierta información personalmente identificable por parte xx Xxxxxx como parte del acceso y uso por parte del Consorcio de la Plataforma Sharesource ("Sharesource") propiedad xx Xxxxxx.
Es de aplicación la legislación referente a protección de datos, seguridad de la información en administraciones públicas y la sectorial de sanidad, principalmente sin perjuicio de la aparición de otras:
1- Reglamento General de Protección de Datos Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD)
2- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (En adelante LOPDGDD)
3- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
4- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
TERCERA. Tratamiento de datos personales del paciente
1- Con el fin de que el Consorcio pueda poner Sharesource a disposición de sus pacientes u otros sujetos con arreglo al Acuerdo, Xxxxxx tratará cierta información personalmente identificable relativa a dichos sujetos como proveedor de Sharesource y del servicio vinculado a Sharesource ("Datos del Paciente"). Dichos Datos del Paciente se incorporan en el anexo I, y su proceso de anonimización cuando proceda.
2- El Consorcio es el responsable del tratamiento de dichos Datos del Paciente y ostentará todos los derechos y obligaciones con arreglo a la legislación aplicable sobre protección de datos, privacidad y legislación relacionada (incluyendo la legislación aplicables a los profesionales sanitarios) (de manera colectiva las "Leyes sobre Privacidad") con respecto a los Datos de los Pacientes y será responsable de adoptar todas las medidas legalmente necesarias, incluyendo con carácter enunciativo pero no limitativo la aportación de notificaciones y/u obtención de
consentimiento, cuando lo exigiera la ley, a fin de comunicar, transmitir o de otro modo proporcionar el acceso de dichos Datos del Paciente x Xxxxxx a los fines establecidos en este Acuerdo. El término "Tratamiento," significará cualquier operación o conjunto de operaciones realizadas sobre Datos de los Pacientes, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Los tratamientos a realizar por Xxxxxx se detallan en el Anexo I.
3- Xxxxxx ostenta la condición de encargado del tratamiento respecto de todos los Datos de los Pacientes recibidos o accesibles con arreglo a este Acuerdo y tratará los mismos de acuerdo con las instrucciones del Consorcio y en nombre de éste, en la medida que sea necesario para lograr los objetivos del Acuerdo. Como parte de dichos objetivos, las partes acuerdan expresamente el tratamiento por parte xx Xxxxxx de los Datos de los Pacientes según sea necesario, para dotar y proporcionar a Sharesource de objetivos de calidad y seguridad (incluyendo administración general, facturación, tratamiento y entregas de proveedores, suministro de servicio técnico, prestación del servicio al Hospital y presentación de quejas o preguntas), así como el cumplimiento de las obligaciones legales y regulatorias asociadas a vigilancia de materiales, farmacovigilancia, reporte de acontecimientos adversos, respuesta a solicitudes legales o regulatorias y obligaciones conexas. Además, Xxxxxx tratará los Datos de los Pacientes, en la medida necesaria, para supervisar y mejorar la calidad de Sharesource, así como de los dispositivos que comunican y transmiten Datos de los Pacientes a Sharesource. Cuando la legislación aplicable exija que Xxxxxx realice el tratamiento de los Datos Personales con arreglo a términos diferentes a los previstos en este Acuerdo, Xxxxxx notificará al Consorcio dicha exigencia legal con anterioridad al tratamiento, conforme al requisito legal, a menos que la legislación aplicable prohibiera dicha notificación; además, Xxxxxx informará al Hospital, con prontitud razonable, en caso de que a su juicio cualquiera de las instrucciones del Consorcio pudiera infringir la legislación aplicable.
4- El Consorcio autoriza que Xxxxxx anonimice o deidentifique los Datos de pacientes, en caso de que llegara a tratarlos, lo cual significa la eliminación permanente de todos los identificadores personales (de modo que no puedan conservarse ni recuperarse) ("Datos anónimos"), utilizando dichos datos anónimos para
cualesquiera fines relacionados con la prestación de sus Servicios que pudieran realizarse razonablemente mediante el uso de los mismos. Una vez convertidos los Datos del Paciente en Datos Anónimos, Xxxxxx podrá tratar la información anónima o no identificativa para cualquier fin legítimo. Como garantías al proceso de anonimización y tratamiento posterior Xxxxxx, sin perjuicio del resto de obligaciones establecidas en este acuerdo, se obliga a cumplir y obtener por escrito, de su personal y de las empresas que subcontrate en relación con el objeto de este acuerdo, lo siguiente:
a. Mantener la confidencialidad de los datos incluso cuando los mismos tengan la condición de anónimos.
b. Los datos anónimos, en el caso de estar sometidos a cualquier norma o política de datos abiertos, deberán excluir del conjunto de datos (dataset) cualquier información que aumente el riesgo de reidentificación como por ejemplo la región u hospital a la que pertenece el paciente.
c. No realizar ninguna actividad de reidentificación, incluido el cruce de datos de otras fuentes públicas o privadas.
d. Realizar una auditoría bianual relativa a sus procesos de anonimización que deberá incluir el riesgo de reidentificación de aquellos conjuntos de datos que vayan a ser sometidos a políticas o normas de open data, atendidos los riesgos de la tecnología existente y reportará al Consorcio las conclusiones de la misma.
e. Se entregará, bajo solicitud previa, una copia electrónica del dataset con los datos, en un formato estructurado importable al datalake de investigación local del departamento. Y con un mapa de datos, o diagrama de la estructura que permita adaptarlos para su correcta importación e interpretación.
En todo caso, Xxxxxx será responsable de cualquier infracción que pudiera declararse por motivo del uso de datos anonimizados conforme a lo establecido en este apartado debiendo, en su caso, indemnizar al Consorcio por los daños y perjuicios ocasionados por dicha infracción.
5- Xxxxxx notificará de inmediato al Consorcio cualquier solicitud, queja, reclamación o cualquier otra comunicación recibida con relación al tratamiento de los Datos del Paciente. Xxxxxx cooperará y prestará su ayuda razonable al Consorcio a la hora de responder a dichas consultas, así como en el desarrollo de la evaluación de impacto o actividades similares, en la medida de lo posible, y teniendo en cuenta la naturaleza del tratamiento y los Datos del Paciente de los que disponga. Xxxxxx
prestará también su cooperación y ayuda al Consorcio en cuanto a sus obligaciones derivadas de las Leyes sobre Privacidad aplicables, incluyendo, cuando proceda, la seguridad de los datos, la notificación a las autoridades y a los sujetos de los datos de cualquier fallo de seguridad con relación al presente Acuerdo, teniendo en cuenta la naturaleza del tratamiento y los Datos del Paciente de los que disponga. Xxxxxx estará obligado a proporcionar dicha ayuda en la medida en que el Consorcio no pudiera cumplir sus obligaciones por otros medios.
6- Cualesquiera sujetos a quienes Xxxxxx autorizara a tratar los Datos Personales se comprometerán a guardar confidencialidad y estarán obligados al tratamiento de los Datos del Paciente con arreglo al presente Acuerdo.
7- Xxxxxx implementará y mantendrá un programa de seguridad de la información que incluya las debidas garantías técnicas y procedimentales para proteger los Datos del Paciente, teniendo en cuenta la naturaleza del tratamiento y los Datos del Paciente de los que disponga. A su solicitud, Xxxxxx proporcionará al Consorcio la información razonablemente necesaria que demuestre el cumplimiento de esta obligación. Así mismo, asistirá al Consorcio en cuanto a la adopción de medidas de seguridad para que el uso del dispositivo se realice de forma segura.
8- Xxxxxx notificará al Consorcio cualquier Incidente de Seguridad (definido más abajo) sin demora indebida, tras tener conocimiento del mismo, y (b) emprenderá las medidas razonables para mitigar los efectos y minimizar cualquier daño derivado de dicho Incidente de Seguridad. Por "Incidente de Seguridad" se entenderá toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
9- Xxxxxx no podrá subcontratar el tratamiento de datos personales sin autorización previa escrita del Consorcio. Xxxxxx informará al Consorcio de cualquier necesidad de incorporar nuevos subcontratistas, o sustituir alguno de los autorizados. En la medida en que el Consorcio se opusiera a dicho cambio, las partes se comprometen a cooperar de buena fe para abordar dicha cuestión. Xxxxxx será responsable del comportamiento de los subcontratistas con arreglo al Acuerdo y formalizará un acuerdo con estos últimos que imponga materialmente las mismas obligaciones establecidas en el presente Acuerdo, teniendo en cuenta la naturaleza
del tratamiento por parte de los subcontratistas y los Datos del Paciente de los que dispongan.
10- A la firma de este acuerdo, el Consorcio autoriza x Xxxxxx la subcontratación del tratamiento de datos con estas empresas:
a. Amazon Web Services, Inc.
i. Servicios: Infraestructure as a Service (IaaS) para nube privada.
ii. Ubicación de los recursos utilizados: Frankfurt, Alemania (AWS Frankfurt Region)
x. Xxxxxx Healthcare Corporation.
i. Servicios:
1. Administración IT.
2. Gestión de incidencias (acceso a datos personales sólo en el caso de que fuera necesario para gestionar la incidencia).
3. Soporte al ejercicio de derechos por los interesados.
ii. Ubicación: Estados Unidos.
iii. Garantías de cumplimiento sobre transferencias internacionales: Cláusulas-tipo.
x. Xxxxxx Innovations and Business Solutions Private Limited.
i. Servicios:
1. Gestión de incidencias (acceso a datos personales sólo en el caso de que fuera necesario para gestionar la incidencia).
ii. Ubicación: India
iii. Garantías de cumplimiento sobre transferencias internacionales: Cláusulas-tipo.
En la medida en que los Datos del Paciente incluyeran información de sujetos que residan en el Espacio Económico Europeo (“EEE”), Suiza y/o el Xxxxx Unido, y para el caso de que Xxxxxx o cualquier otro subcontratista pueda obtener acceso a tales Datos Personales desde fuera del EEE, Suiza y/o el Xxxxx Unido, respectivamente, Xxxxxx proporcionará protección adecuada para los Datos Personales transferidos o accesibles fuera de la Unión Europea / EEE, Suiza y/o el Xxxxx Unido, en concreto las Cláusulas Contractuales Tipo para la Transmisión de
Datos Personales a los Encargados del Tratamiento de Datos establecidos en terceros países A la fecha de firma del presente Convenio, las Cláusulas Contractuales Tipo suscritas con Xxxxxx Healthcare Corporation y Xxxxxx Innovations and Business Solutions Private Limited a que se refiere la cláusula 3.5 de este Anexo responden al modelo de la Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 xx xxxxx de 2021, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo.
11- Xxxxxx aportará protección suficiente a los Datos del Paciente almacenados, transmitidos o accesibles fuera de la UE/AEE cumpliendo con todo lo dispuesto en el CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales del RGPD y el Título VI Transferencias internacionales de datos de la LOPDGDD.
12- Las partes acuerdan que en el plazo de los treinta (30) días siguientes a la notificación escrita x Xxxxxx, y con una frecuencia no superior a una vez por año natural, el Consorcio podrá solicitar x Xxxxxx aquella información que sea necesaria para demostrar el cumplimiento de sus obligaciones. Así mismo, el Consorcio podrá solicitar x Xxxxxx el acceso razonable a sus instalaciones, sistemas y documentación de soporte utilizada con relación al tratamiento de los Datos del Paciente realizado en el marco del Acuerdo, hasta el límite necesario para valorar el cumplimiento de sus obligaciones conforme al mismo. Tales evaluaciones serán llevadas a cabo a expensas únicas del Consorcio y estarán sujetas a las políticas de seguridad y confidencialidad xx Xxxxxx, de manera que quede minimizada la interrupción del desempeño de los servicios y demás operaciones normales por parte xx Xxxxxx, y quede protegida la información confidencial y exclusiva de sus clientes. Se incluye en este apartado a los subencargados, si los hubiera.
13-Una vez finalizado el encargo de tratamiento, Xxxxxx no tiene permiso para conservar los datos personales, y deberá bien devolver al Consorcio, o bien eliminar de manera segura los Datos del Paciente de sus sistemas, a menos que la ley exigiera que mantuviera dichos datos, en aplicación de Normativas que apliquen a la relación xx Xxxxxx con el Consorcio y/o Normativas que apliquen x Xxxxxx (farmacovigilancia, productos sanitarios, etc.).
14-En el caso de que los pacientes ejercieran alguno de los derechos de acceso a sus datos personales, la rectificación o supresión de los mismos, la limitación de su tratamiento u oponerse al mismo, la portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, ante Xxxxxx, éste deberá comunicarlo al Consorcio. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
15-Esta cláusula Tercera se aplicará únicamente al tratamiento de los Datos personales del Paciente, no aplicándose a Otros Datos Personales, según la definición contenida en la cláusula Cuarta siguiente ni a otra información personal de la que Xxxxxx tenga conocimiento fuera del contexto de este acuerdo.
CUARTA. Otros datos personales
Con relación a la provisión al personal clínico del usuario y contraseña de acceso a la Plataforma ShareSource, así como para llevar a cabo análisis de usuario que permita x Xxxxxx entender el uso de la Plataforma ShareSource y de aplicaciones adicionales disponibles para el personal clínico, Xxxxxx actuará como Responsable del tratamiento y cumplirá con las obligaciones establecidas en la Normativa de Privacidad aplicable.
QUINTA. Obligaciones económicas
Las obligaciones económicas quedan fuera del alcance de este Convenio de Colaboración. Siendo su objeto establecer las obligaciones aplicables al tratamiento de cierta información personalmente identificable por parte xx Xxxxxx como parte del acceso y uso por parte del Consorcio de la Plataforma Sharesource ("Sharesource") propiedad xx Xxxxxx.
SEXTA. CONFIDENCIALIDAD.
Tanto Xxxxxx como el Consorcio conferirán tratamiento estrictamente confidencial y se abstendrán de revelar cualquier información (sea cual fuere su naturaleza) que llegue a su conocimiento en el marco de la ejecución de este Convenio. En particular, Xxxxxx se compromete a mantener en secreto toda la información sobre el Consorcio que le sea comunicada para su tratamiento. Por su parte, el Consorcio a mantener en secreto
todas las aplicaciones, técnicas, métodos, conocimientos expertos, etc., implementados o desarrollados por Xxxxxx y que lleguen a su conocimiento.
SÉPTIMA- Resolución del Convenio
El presente Xxxxxxxx podrá resolverse por las siguientes causas:
a) El incumplimiento manifiesto de las obligaciones asumidas por cualquiera de las Partes.
b) El mutuo y expreso acuerdo de las Partes.
c) La desaparición de las circunstancias que dieron origen al mismo.
d) Cuando una de las partes considere que la otra parte está incumpliendo los compromisos adquiridos en el presente Convenio se lo notificará mediante método de comunicación fehaciente e indicará las causas que originan dicho incumplimiento. La otra parte podrá subsanar dicha situación en un plazo de 90 días, a contar desde la fecha de envío de la notificación.
En estos casos las actuaciones en curso de ejecución serán suspendidas en el estado en que se encuentren.
OCTAVA. Efectos y duración
El presente Xxxxxxxx surtirá efectos a partir de la fecha de su firma y mantendrá su vigencia durante los cuatro (4) años posteriores a dicha fecha. El presente convenio será prorrogable por un periodo igual de cuatro (4) años, alcanzada dicha fecha seguirá en vigor mientras exista algún paciente renal del Consorcio tratado con HomeChoice Claria y seguido a través del sistema informático Sharesource.
NOVENA. Discrepancias
El presente Xxxxxxxx tiene naturaleza administrativa y se regirá en su interpretación y desarrollo por la normativa correspondiente, con la especial sumisión de las partes a la Jurisdicción Contencioso-Administrativa de Valencia.
DÉCIMA. Cláusula de sustitución
Este Convenio sustituye y reemplaza todas las negociaciones, compromisos y acuerdos previos entre las Partes relacionados con el tratamiento de datos personales vinculado a ShareSource por Xxxxxx como se viene describiendo.
Y en prueba de conformidad con lo dispuesto en las anteriores cláusulas, firman el presente documento por triplicado, en el lugar y fecha indicados en el encabezamiento.
POR EL XXXXXXXXX XxXxxxxxx Xxxxxxxx Xxxxxx DIRECTORA GERENTE DEL CONSORCIO CHGUV | POR XXXXXX X.X. Xxx. Xxxx Xxxxxx Xxxx Xxxxxxx BUSINESS UNIT HEAD SOUTHERN CLUSTER |
ANEXO 1.
En Valencia a 11 de diciembre de 2023
El presente Anexo se vincula al Acuerdo entre el CONSORCIO HOSPITAL GENERAL UNIVERSITARIO DE VALENCIA y XXXXXX S.L. relativo al tratamiento de datos de pacientes con insuficiencia renal desde su domicilio mediante el uso del equipo de diálisis peritoneal domiciliaria HomeChoice Claria y su seguimiento a través del sistema informático Sharesource, del que forma parte, y obliga a las Partes con igual fuerza que el propio Acuerdo con relación a las siguientes
CLÁUSULAS
UNO.- TIPOS DE DATOS A TRATAR Y ACTIVIDADES DE TRATAMIENTO
Tipos de datos a tratar
• Datos de pacientes (datos sensibles)
o Los Datos de pacientes que se podrían tratar son, de modo no exhaustivo: nombre completo, dirección, teléfono, fecha de nacimiento, género, DNI o número ID (número único de prescripción, identificador único de registro vitales, código único de activación de App, contraseña, correo electrónico, zona horaria), nombre del médico que realiza el tratamiento, país de ubicación y número identificativo, dirección IP del dispositivo utilizado para conectar con ShareSource, si el paciente está activo en terapia domiciliaria, nombre del hospital, dirección, teléfono y número identificativo, código único de activación así como información relacionada con el tratamiento (resultados del tratamiento “modelizado”, modalidad y fechas de la terapia, medicación, información sobre prescripción, información sobre el dispositivo, incluido número identificativo y configuración, e información de suministros, estado sobre diabetes, peso, peso ideal, altura, área de la superficie del cuerpo, estado de amputación y parte/s del cuerpo, peso sin amputación e información sobre constantes vitales, duración del tratamiento de diálisis o duración del tratamiento “modelizado”, volumen de fluidos grabado durante el tratamiento, volúmenes de llenado de dializado, concentración de
dextrosa, número de ciclos, tiempos de llenado, permanencia y drenaje, resultados de laboratorio).
• Datos de personal clínico: nombre completo, correo electrónico, teléfono, ID de usuario e idioma.
Actividades de tratamiento
• En la medida necesaria para administrar y proveer Sharesource (incluyendo administración general, facturación, procesado y entrega de suministros, soporte al Cliente y el paciente, y gestión de reclamaciones o cuestiones, y propósitos relacionados);
• Soporte técnico, incluyendo de modo enunciativo pero no limitativo la gestión de las cuestiones técnicas y las formaciones sobre el uso de Sharesource;
• Actualizaciones de Sharesource, incluyendo comunicaciones a los usuarios, así como entrenamiento y seguimiento en la medida necesaria;
• Realización de análisis y reporte en nombre del Cliente tal y como se establezca en el Contrato y conforme las instrucciones del Cliente, como análisis de datos del Paciente con el fin de habilitar al personal clínico del Cliente para gestionar complicaciones proactivamente, con relación a la Herramienta Analytics;
• Asistencia a los médicos en la identificación de las características de la membrana peritoneal, y predicción y modelado de medidas clave de adecuación DP con el fin de que puedan tomar decisiones, con relación a la Herramienta Adequest;
• Implementación de aplicación móvil orientada al uso por los pacientes de diálisis para visualizar parámetros de tratamientos nuevos o modificados por un profesional sanitario, ayudar a la obtención de datos del tratamiento y registros vitales, que pueden ser comunicados remotamente a ShareSource, y para visualizar sus resultados históricos de tratamiento;
• Preparar y proporcionar, al Cliente, métricas e informaciones agregadas a nivel de hospital, sobre utilización e información terapéutica, basados en los datos de ShareSource.
• Cuando sea necesario, monitorizar y mejorar la calidad de Sharesource, así como de los dispositivos que comunican y transmiten Datos Personales a Sharesource; y
• Anonimización de Datos Personales.
DOS.- ANONIMIZACIÓN
1. Objetivo: Anonimización completa de los datos, con el propósito de que no pueda haber reidentificación, ya que en ningún caso y bajo ninguna circunstancia Xxxxxx va a promover, requerir o buscar la reidentificación, sino que su objetivo es justo lo contrario, que la información anonimizada permanezca siempre en esa condición.
2. Metodología: Se aplican las soluciones de un proveedor especializado, que es Data Guardian, para dar soporte a la anonimización de la información personal recogida a través de la Plataforma de conectividad Sharesource. Con el soporte de este proveedor externo, Xxxxxx desarrolló un software de anonimización que anonimiza los datos tras su extracción. Dicho software anonimiza los datos usando: Encriptación (translación de texto plano en texto complejo, código irreconocible y eliminación de claves ligadas a identificadores directos e indirectos), Recodificación (generalizando y agrupando los datos para incrementar la dificulta de identificación individual) y Redacción (eliminación de datos personal del paquete de datos reduciendo así el riesgo de re- identificación).
Este proceso de anonimización ha tenido en cuenta tanto el RGPD como la HIPAA, así como el Artículo 29 de la Opinión 05/2014 sobre Técnicas de Anonimización del Grupo de Trabajo de Protección de Datos del Artículo 29, en la que el Grupo de Trabajo aborda la consideración de tres criterios específicos (señalización, vinculación e inferencias). Xxxxxx ha considerado adicionalmente la EMA/90915/2016 para reducir aún más el riesgo de reidentificación.
La anonimización es irreversible, por ejemplo, todos los identificadores personales son eliminados permanentemente (de modo que no se retengan y no puedan recuperarse), por lo que el riesgo de reidentificación está considerado muy bajo.
3. Validación: El método de anonimización ha sido verificado por la entidad Privacy Analytics Inc., quien ha concluido que los datos anonimizados no son identificables, quedando por debajo del umbral de tolerancia de identificabilidad establecida por los precedentes existentes (0,0099%). Como tal, la información
ha sido despojada de suficientes elementos, de modo que los interesados ya no pueden ser identificados utilizando todos los medios razonablemente probables.
4. Resultado: Dos bases de datos:
a. BBDD encriptada de Terapia: los datos de esta área están estrechamente relacionados con el tratamiento y cuidado del paciente.
b. BBDD anonimizada: para calidad, seguridad, incidencias, cumplimiento, reclamaciones, mejor continua y finalidades análogas.
En prueba de su conformidad, ambas partes firman por duplicado ejemplar y a un solo efecto el presente Anexo, en el lugar y fecha al comienzo indicados.
POR EL XXXXXXXXX XxXxxxxxx Xxxxxxxx Xxxxxx DIRECTORA GERENTE DEL CONSORCIO CHGUV | POR XXXXXX X.X. Xxx. Xxxx Xxxxxx Xxxx Xxxxxxx BUSINESS UNIT HEAD SOUTHERN CLUSTER |