Contract
El presente Contrato se aplica a los Servicios (definidos a continuación) prestados junto con la Red de Atención al Paciente Xxxxxx.xxx™.
IMPORTANTE: Xxx detenidamente el siguiente Acuerdo junto con los documentos a los que se hace referencia en el mismo antes de proceder. Este es un documento legal entre usted y nosotros (tal y como ambos términos se definen a continuación). Antes de utilizar los Servicios (definidos a continuación), debe leer atentamente este Acuerdo, ya que regula el uso de los Servicios.
El uso de los Servicios por su parte constituye y está condicionado a su aceptación del presente Contrato. Al hacer clic en «aceptar», consiente y acepta explícitamente que el presente Acuerdo se aplique a su uso de Xxxxxx.xxx. Si usted, o una persona en cuyo nombre está utilizando Xxxxxx.xxx, no acepta este Acuerdo, no haga clic en aceptar y no utilice Xxxxxx.xxx.
Al aceptar este Acuerdo y utilizar Xxxxxx.xxx, usted afirma que lo acepta en su propio nombre, o en nombre de otra persona para la cual usted tiene autoridad real para vincular legalmente a esa persona a este Acuerdo. Si accede a Xxxxxx.xxx y lo utiliza en nombre o en beneficio de una empresa, sociedad, hospital, organización nacional de servicios sanitarios u otra entidad con la que esté asociado, o por la cual esté empleado o contratado (una «Clínica»), acepta por ende el presente Acuerdo en su nombre y en el de dicha Clínica, y declara y garantiza que está debidamente autorizado para vincular a dicha Clínica al presente Acuerdo.
Todas las condiciones de cualquier orden de compra u otra documentación emitida por usted o en su nombre que contenga términos adicionales o contradictorios o que pretenda sustituir, rechazar, modificar o ser una contraoferta a este Acuerdo se rechazan expresamente y son nulos como tales.
Cualquier palabra que siga a los términos «incluyendo», «incluye», «en particular», «por ejemplo» o cualquier frase similar se interpretará como ilustrativa y no limitará la generalidad de las palabras generales relacionadas. Los títulos de este Acuerdo son solo para su conveniencia y no limitan, definen ni explican por completo cada artículo.
1. Información sobre nosotros: Xxxxxx.xxx es un Sitio operado por Xxxxxx.
2. Términos clave: Los siguientes términos tienen el siguiente significado en este Acuerdo:
Administrador. El administrador del sistema Xxxxxx.xxx al que la Clínica proporciona un ID de administrador para crear, administrar y mantener los ID de clínica.
Acuerdo. Las presentes Condiciones Generales, junto con los documentos a los que se hace referencia en ellas, incluidas las actualizaciones publicadas en xxx.xxxxxx.xxx o en cualquier otra URL que podamos facilitar.
Comandos. Comandos o parámetros que usted envía directamente a los Servicios o que nos indica que enviemos en su nombre y que se transmiten a un Monitor para ayudarle a supervisar o gestionar determinados Dispositivos del Paciente. Los Comandos no son Datos.
Legislación de protección de Datos. Todas las leyes, normativas, directivas y requisitos gubernamentales aplicables que estén relacionados de alguna forma con la privacidad, la confidencialidad, la seguridad, la integridad y la protección de datos personales, según se enmiende o sustituya cuando proceda, así como cualquier legislación de aplicación nacional.
Datos. Datos o información del paciente recogidos de un Dispositivo a través de un Monitor y cargados en los Servicios y datos enviados por usted a través de los Servicios.
Dispositivo. Cualquier dispositivo cardíaco implantado compatible con Xxxxxx.xxx™ PCN que se obtenga de nosotros o de cualquiera de nuestras subsidiarias o filiales.
Ubicaciones. Cualquier lugar donde reciba los Servicios o donde se realicen los Servicios. Por ejemplo, «sus Ubicaciones» incluyen los sitios clínicos donde trata a los Pacientes. «Nuestras Ubicaciones» incluyen nuestras instalaciones u otros lugares donde realizamos los Servicios.
Aviso de privacidad de Xxxxxx.xxx. El Aviso de Privacidad se encuentra disponible en xxxxx://xxx.xxxxxxxxxxxxxx.xxxxxx/xxx/xx/xxxxxxxx/xxxxxx-xxx.xxxx.
Monitor. Equipos electrónicos o aplicaciones en cualquier forma utilizados para transmitir Datos o transmitir/recibir Comandos como parte de los Servicios y para ayudar a la Clínica o al Usuario a monitorizar o gestionar el Dispositivo de un Paciente. Los Monitores pueden ser portátiles y pueden incluir teléfonos inteligentes, tabletas, transmisores de sobremesa y otros equipos electrónicos utilizados por un paciente o por el personal médico. Los Monitores también pueden
incluir cualquier otro hardware en el que esté instalada la aplicación móvil para pacientes. Los Monitores pueden o no ser suministrados o soportados por nosotros.
Paciente. Cualquier paciente individual cuyo Dispositivo Xxxxxx una Clínica o Usuario supervise o gestione a través de los Servicios.
Aplicación móvil para pacientes. Una aplicación móvil proporcionada por nosotros y utilizada como Monitor por un Paciente en relación con el uso de un Dispositivo por parte de un Paciente.
Servicios. Los servicios en línea y otros servicios y hardware que le proporcionamos, cada uno donde se ofrezca, bajo este Acuerdo asociado con el PCN Xxxxxx.xxx ubicado en xxx.xxxxxx.xxx, u otro URL («Xxxxxx.xxx» o «Sitio») que Xxxxxx pueda proporcionarle, y que se usa para dar soporte a los Dispositivos; soporte técnico y mantenimiento; capacitación; educación y asistencia al Paciente, incluyendo la configuración y activación de la monitorización remota en Xxxxxx.xxx, incluido el emparejamiento remoto y sin contacto del Dispositivo con un Monitor donde estén disponibles tales Servicios; recogida y alojamiento de Datos relacionados con el Dispositivo; informes; y, bajo petición, asistencia con la interpretación o análisis de determinada información relacionada con el Dispositivo. Los Servicios también pueden incluir, bajo sus instrucciones y autorización, y tras la inscripción del Paciente, que Xxxxxx contacte directamente con los Pacientes en su nombre para proporcionar soporte en línea o telefónico relacionado con la configuración del Monitor, su funcionamiento o conectividad a Xxxxxx.xxx o para enviar un Monitor por separado, cuando sea necesario y esté disponible. Los Servicios pueden solicitarle que proporcione un inicio de sesión específico en Xxxxxx.xxx para que Xxxxxx apoye la inscripción de pacientes. Dependiendo del Dispositivo implantado en un Paciente, los Servicios pueden permitirle informar a su Paciente sobre los ajustes que usted realice en su medicación o permitirle realizar otros cambios en el tratamiento. Los Servicios no incluyen la provisión de ningún consejo médico o asistencia por parte xx Xxxxxx a los Pacientes. Los Servicios están diseñados exclusivamente para el soporte de los Dispositivos Xxxxxx obtenidos de nosotros o de nuestros distribuidores.
Usuario. Cualquier proveedor médico o sanitario, médico (y sus representantes y agentes debidamente autorizados) u otro usuario asociado a una Clínica y al que dicha Clínica proporcione credenciales de usuario para acceder y utilizar Xxxxxx.xxx.
Nosotros, nos, nuestro x Xxxxxx. «Nosotros», «nos» y «nuestro» se referirán a la empresa Xxxxxx pertinente, tal como se establece en el artículo 39, que es la contraparte de este Acuerdo. La empresa xx Xxxxxx correspondiente puede utilizar otras empresas afiliadas xx Xxxxxx para proporcionar y realizar los Servicios. «Partes» se refiere a usted y a la empresa Abbott correspondiente a su Ubicación.
Usted, su y suyo. La Clínica, el Administrador o el Usuario.
3. Descripción de los Servicios de Xxxxxx.xxx: Los Servicios están diseñados para ayudarle a supervisar y gestionar aspectos de los Datos de Pacientes o Dispositivos y, cuando sea compatible, exportar Datos a un sistema de registro sanitario electrónico. Los Servicios dependen del acceso a Internet, sistemas de telecomunicaciones, proveedores de servicios de terceros, plataformas, software y Monitores, que pueden no ser proporcionados por nosotros. No nos hacemos responsables del rendimiento, retraso en el rendimiento, errores, daños o pérdida de Datos o incumplimiento por parte de terceros. Los Servicios permiten a la Clínica recopilar de forma remota determinada información sobre el Dispositivo del Paciente desde la ubicación de la Clínica y, cuando se ofrezcan y aprueben, pueden permitir a los Usuarios ajustar el Dispositivo de un Paciente de forma remota.
SOSPECHA QUE PUEDEN TENER UNA EMERGENCIA MÉDICA. Nuestro personal de soporte técnico no está autorizado para informar a los Pacientes de la Clínica sobre la sustancia, el significado o las posibles consecuencias de los Datos transmitidos por el Paciente o su Dispositivo.
4. Acceso al servicio: El acceso a las partes clínicas de nuestro Sitio está restringido a los Usuarios. La Clínica a la que están asociados los Usuarios de nuestro Sitio les proporciona
identificadores de Usuario únicos y deben elegir una contraseña de su elección para iniciar sesión en nuestro Sitio. Los Usuarios deben proporcionar información de contacto personal, y usted debe asegurarse de que su información se mantiene actualizada en todo momento. Los identificadores de Usuario y las contraseñas constituyen una firma electrónica y serán utilizados por nosotros para autenticar el acceso a nuestro Sitio. Si un Usuario opta por registrarse en Xxxxxx.xxx, podrá disfrutar de las secciones no públicas de nuestro Sitio. Si un Usuario opta por no registrarse en nuestro Sitio, su acceso al mismo estará restringido únicamente a las secciones públicas de nuestro Sitio. Si se le proporciona una identificación de Usuario, una contraseña o cualquier otra información como parte de nuestros procedimientos de seguridad, debe tratar dicha información como confidencial y no revelarla a terceros. Tenemos derecho a desactivar cualquier identificación de Usuario en cualquier momento si, en nuestra opinión, ha incumplido alguna de las disposiciones del presente Acuerdo. Solo podrá utilizar nuestro Sitio según lo establecido en el presente Acuerdo. Cualquier uso ilegal o no autorizado de nuestro Sitio constituirá una violación del presente Acuerdo. Usted no tiene permiso para acceder a nuestro Sitio de ninguna manera que viole este Acuerdo o infrinja cualquier ley aplicable. Usted se compromete a mantener sus datos y los de sus pacientes exactos, actualizados y completos. Usted puede imprimir o descargar extractos de página(s) de nuestro Sitio para su uso en el cuidado del Paciente o inserción en los registros electrónicos de salud de un Paciente solamente.
5. Contenido: Nuestro Sitio está destinado para el uso exclusivo y soporte de determinados Dispositivos xx Xxxxxx. Usted reconoce y acepta que el Sitio y los Servicios se proporcionan para mejorar la atención que brinda a sus Pacientes, pero comprende que estos no sustituyen su criterio profesional ni sus responsabilidades para con sus Pacientes. Salvo que se indique lo contrario, nuestro Sitio es meramente informativo. El contenido de la información sanitaria que aparece en Xxxxxx.xxx se basa en la información facilitada por los profesionales sanitarios y en las transmisiones de datos relacionados con el dispositivo por parte de los pacientes. El contenido de información sanitaria que aparece en Xxxxxx.xxx no pretende ser, y no debe ser recibido o interpretado como, un consejo específico para el Paciente o un sustituto del consejo específico para el Paciente. Cualquiera de los contenidos de información sanitaria de Xxxxxx.xxx puede no estar actualizado en un momento dado, y no tenemos ninguna obligación de actualizar dichos contenidos, ya que se basan en la información facilitada por los Usuarios y en las transmisiones de datos relacionadas con los dispositivos de sus Pacientes.
USTED ES EL ÚNICO RESPONSABLE DE LOS COMANDOS Y DE SU CONFIANZA EN LOS DATOS Y RESTO DE INFORMACIÓN MOSTRADOS A TRAVÉS DE LOS SERVICIOS, ASÍ COMO DE LAS DECISIONES QUE TOME AL RESPECTO. NO SOMOS RESPONSABLES DE ESTOS COMANDOS NI DE SU CONFIANZA EN LA INFORMACIÓN DISPONIBLE A TRAVÉS
DE LOS SERVICIOS. Nuestro personal no está autorizado a informar a los Pacientes sobre la sustancia, el significado o las posibles consecuencias de ningún Dato.
6. Usos prohibidos de nuestro Sitio y Servicios: Nos reservamos el derecho a desactivar cualquier identificación de Usuario en cualquier momento si, en nuestra opinión, ha incumplido alguna de las disposiciones de este Acuerdo que le sean aplicables. Al utilizar nuestro Sitio, no podrá realizar los usos prohibidos que se indican a continuación. Cuando así lo exija la ley, los Usuarios no deberán inscribir a un Paciente ni crear ningún perfil de Paciente en Xxxxxx.xxx sin
haber obtenido previamente su consentimiento informado, voluntario y explícito. Usted se compromete a NO utilizar los Servicios o el Sitio:
(iv) de forma ilegal o que infrinja cualquier ley, estatuto, ordenanza o reglamento;
7. Marcas registradas: Xxxxxx.xxx™ PCN y las marcas relacionadas son marcas comerciales y marcas de servicio xx Xxxxxx y sus empresas relacionadas en varias jurisdicciones y cualquier fondo de comercio que pueda surgir de las marcas comerciales y marcas de servicio Xxxxxx.xxx PCN™ y marcas relacionadas a través del uso de los Servicios redundará en beneficio de y, en
su caso, se cederá x Xxxxxx. El resto de marcas comerciales pertenecen a sus respectivos propietarios. No se le concede ninguna licencia ni derecho, expreso o implícito, sobre ninguna de las marcas mencionadas. Asimismo, acepta que no eliminará, ocultará ni alterará ningún aviso de propiedad (incluidos los avisos de marcas comerciales y derechos de autor) que pueda estar adherido o contenido en el PCN o los Servicios de Xxxxxx.xxx™. No se puede hacer uso de ningún logotipo, marca, nombre o imagen comercial xx Xxxxxx sin la autorización previa por escrito xx Xxxxxx, excepto para identificar el producto o los servicios de la empresa.
8. Derechos de propiedad: Usted reconoce y acepta que Xxxxxx o sus licenciatarios poseen todos los derechos legales, títulos e intereses, incluyendo todos los derechos de autor, patentes, derechos de secretos comerciales, marcas registradas y otros derechos de propiedad intelectual en y para el Sitio Xxxxxx.xxx, Servicios y Monitores que proporcionamos, incluyendo, entre otros, el diseño, gráficos, interfaz de usuario, encabezados de página, imágenes, ilustraciones, clips de audio, texto, los scripts, estructuras de bases de datos y software utilizados para implementar el Sitio, y cualquier software o documentos proporcionados a usted como parte de o en conexión con los Servicios, incluyendo todos los derechos de propiedad intelectual que existan en ellos, estén registrados o no, y en cualquier parte del mundo en que puedan existir. Además, acepta que Xxxxxx.xxx, los Servicios y los Monitores contienen información confidencial y patentada que está protegida por los Derechos de propiedad intelectual aplicables y otras leyes, incluidos, entre otros, los derechos de autor. Usted se compromete a no utilizar dicha información o materiales patentados de ninguna manera, excepto para el uso de Xxxxxx.xxx y los Servicios relacionados de conformidad con el presente Contrato. Ninguna parte del Sitio o de los Servicios podrá ser reproducida en forma alguna ni por ningún medio, salvo en los casos expresamente permitidos en el presente Acuerdo o cuando lo permita la legislación aplicable. No deberá eliminar ninguna identificación de producto o Dispositivo, aviso de derechos de autor o restricción de propiedad de Xxxxxx.xxx. Usted reconoce y acepta expresamente que se le conceden bajo licencia y no se le venden los Servicios, y que Abbott, sus licenciantes, afiliados y proveedores, le otorgan una licencia no exclusiva, no sublicenciable y no transferible para usar Xxxxxx.xxx sobre la base de este Acuerdo, y que su uso de Xxxxxx.xxx también está sujeto a cualquier norma o política aplicada por los terceros proveedores xx Xxxxxx. Por lo tanto, usted acepta que Xxxxxx o sus licenciantes no transfieren a ningún Usuario ningún derecho de propiedad o de patente en Xxxxxx.xxx, ningún derecho de propiedad intelectual, o ninguna otra tecnología, información o materiales, y como entre las Partes, Xxxxxx, sus afiliados, sus proveedores, y sus licenciantes, retienen la propiedad exclusiva de todos los derechos, títulos e intereses en y para todos los aspectos de Xxxxxx.xxx, cualquier derecho de propiedad intelectual, y toda otra tecnología, información y materiales, así como todas y cada una de las copias o modificaciones de los mismos (por quien sea y cuando sea que se hagan). LOS DERECHOS NO EXPRESAMENTE CONCEDIDOS EN ESTE DOCUMENTO ESTÁN RESERVADOS POR XXXXXX O SUS LICENCIANTES. El uso de este material y los derechos asociados xx Xxxxxx, sus filiales y sus proveedores, se reconocen por la presente, excepto en la medida en que lo anterior sea ineficaz en determinados países/estados/provincias/jurisdicciones.
9. Comentarios: Cualquier dato, comentario o material que usted suministre o si transmite cualquier idea, información, concepto, experiencia o técnicas o materiales a nosotros o que proporcione x Xxxxxx con el fin de recibir apoyo o para mejorar o modificar los Servicios, el Monitor o cualquier software, hardware, componentes u otras partes que conforman los Servicios, incluyendo datos de comentarios, tales como preguntas, comentarios, sugerencias o similares («Comentario»), se considerarán no confidenciales y no patentados. Xxxxxx no tendrá obligación de ninguna clase con respecto a tal Comentario y será libre de reproducir, usar, revelar, exhibir, mostrar, transferir, crear trabajos derivados y distribuir el Comentario (aparte de los Datos y la información personal que podría estar incluida en el Comentario pero que está sujeta al artículo titulado «Licencia» que se muestra a continuación) a través de nuestro Sitio o de otra manera, y su Comentario se convertirá en propiedad exclusiva xx Xxxxxx y podrá ser usado por Xxxxxx para cualquier propósito sin compensación para usted. Además, Xxxxxx tendrá la libertad de utilizar cualquier idea, concepto, conocimiento o técnica contenida en dicho Comentario para cualquier propósito, incluido el desarrollo, la fabricación y la comercialización de productos que incorporen dicho Comentario.
10. Licencia: Xxxxxx no reclama la propiedad de la información personal que usted transmita o envíe al Sitio o a través de los Servicios. Al revelar su información personal x Xxxxxx, usted le otorga una licencia mundial, libre de regalías, transferible, no exclusiva, sublicenciable y totalmente desembolsada para usar, distribuir, reproducir, modificar, adaptar, publicar y traducir
tales datos con el propósito de proporcionarle los Servicios durante el periodo en que Xxxxxx esté obligado a proporcionarle tales Servicios. Xxxxxx puede crear, acceder, retener, usar o divulgar a investigadores de terceros, datos agregados, anonimizados, desidentificados (o seudonimizados en la medida permitida por su ley) derivados de los Servicios para propósitos de investigación, para evaluar cómo se prestan los Servicios, su uso y sus diversos componentes y equipo, el desempeño o impacto en el personal clínico o a través de clínicas, para mejorar el funcionamiento del Sitio y los Dispositivos, para validar las actualizaciones del Sitio o del Monitor, o para el desarrollo del producto y la calidad y seguridad de los dispositivos médicos. Usted acepta que la licencia permita x Xxxxxx tomar tales medidas. Cuando proporcionamos información personal a proveedores externos para que nos ayuden en la prestación de los Servicios, les exigimos que mantengan la información personal de manera confidencial y segura, así como que utilicen la información personal en la medida mínima necesaria.
11. Prestación de los Servicios por Xxxxxx: Proporcionaremos los Servicios según este Acuerdo. Los Servicios pueden no estar disponibles (a) por periodos de inactividad, mantenimiento, modificación o suspensión planificados o imprevistos; (b) por fallos en el suministro eléctrico (incluidos los cortes de carga) y fallos en las telecomunicaciones; o (c) cuando estén causados por circunstancias que escapen a nuestro control razonable, incluyendo sin limitación, y siempre que la ley lo permita, casos fortuitos, actos de gobierno, inundaciones, incendios, terremotos, disturbios civiles, actos de terrorismo, huelgas u otros problemas laborales (distintos de los que afecten a nuestros empleados), fallos o retrasos del proveedor de servicios de Internet, fallos o retrasos de plataformas, servicios o software de terceros o tiendas de aplicaciones o Monitores proporcionados por terceros, utilizados por el Paciente en relación con los Servicios, o ataques de denegación de servicio.
Los Servicios pueden cambiar con el paso del tiempo a medida que se agreguen o cambien funciones. Nos reservamos el derecho a añadir, cambiar y eliminar algunas funciones cuando proceda y a nuestra entera discreción, así como a mejorar los Servicios. Para obtener la descripción más actualizada de los Servicios en todo momento, visite xxx.xxxxxx.xxx o póngase en contacto con el representante de servicio o distribuidor que gestione la cuenta de cliente de su Clínica. Haremos todos los esfuerzos comercialmente razonables para notificarle con antelación los cambios sustanciales y le solicitaremos su consentimiento para dichos cambios si así lo exige la legislación aplicable. Cuando proceda, habrá actualizaciones del Servicio o actualizaciones de emergencia, y es posible que no podamos brindarle los Servicios en esos momentos. Cuando sea razonablemente posible, le daremos un aviso previo si no podemos brindarle los Servicios.
12. Obligaciones clínicas: Como condición para recibir los Servicios, la Clínica acepta que:
(v) nos informará sin demora de cualquier incidente de seguridad en xxxxxxxxxxxxx@xxxxxx.xxx o violación de datos personales en xxxxxxxxx@xxxxxx.xxx relacionada con los Servicios que observe o sospeche razonablemente, y cooperará plenamente con nosotros, las fuerzas de seguridad u otro organismo regulador aplicable para abordar la violación;
(ix) será responsable de obtener y mantener todas las conexiones a Internet, fuentes de alimentación, equipos informáticos, suministros, software de terceros y personal necesarios para que los Usuarios reciban los Servicios. Los Servicios pueden requerir el uso de software proporcionado por terceros no afiliados (por ejemplo, un navegador web y un visor de PDF de Adobe) («Software de terceros») para permitir la plena funcionalidad de los Servicios. El uso por parte de la Clínica de Software de Terceros estará sujeto a las condiciones aplicables establecidas por los proveedores de dicho Software de Terceros, y la Clínica deberá cumplir con dichos términos y condiciones y, si procede, pagar tasas por el uso de dicho Software de Terceros. Declinamos todas las responsabilidades, garantías y obligaciones relacionadas con el uso de Software de Terceros.
acciones que tengan lugar con el uso de los identificadores y contraseñas. La Clínica reconoce y acepta que no somos responsables de la gestión o administración interna de los Usuarios de la Clínica. Podemos auditar su uso de identificaciones y contraseñas de la Clínica para un uso adecuado y acceso a los Servicios y para identificar cualquier cambio realizado en los Datos. Si existe alguna razón para creer que una identificación o contraseña se ha visto comprometida, la Clínica tomará de inmediato todas las acciones necesarias para cambiar la contraseña afectada, eliminar la identificación de Usuario o adoptar las otras medidas necesarias para proteger su uso de los Servicios de la Clínica, incluso notificándonos a nosotros que se debe cambiar la contraseña. Cambiaremos las identificaciones y contraseñas cuando la Clínica así lo solicite, y nos reservamos el derecho de cambiarlas en cualquier momento en caso de sospecha o amenaza de violación de seguridad.
La Clínica se asegurará de que todas las personas a las que se les proporcione una identificación de Usuario y estén autorizadas para tratar los Datos se hayan comprometido y estén vinculadas contractualmente a la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad («Secreto de Datos»). Todos los Usuarios se comprometen a respetar este deber xx Xxxxxxx de Datos.
13. Obligaciones mutuas: Usted y nosotros cooperaremos para resolver cualquier problema o error en relación con los Servicios. Usted y nosotros acordamos cumplir con todas las leyes, normas y regulaciones aplicables que se aplican al uso de los Servicios.
14. Confidencialidad: Usted y nosotros protegeremos y tomaremos las medidas comercialmente razonables para proteger, como si fuera propia, la información confidencial o patentada de la otra Parte que se indique como tal. Cada Parte utilizará la información confidencial o patentada de la otra parte solo según lo permita este Acuerdo y en relación con los Servicios. La información ya no se considerará confidencial si se hace pública sin incumplimiento de este Acuerdo, ya es conocida o es desarrollada independientemente por la Parte receptora aparte de este Acuerdo, o se obtiene adecuadamente de un tercero que tenía derecho a divulgar la información.
15. Uso abusivo de contenidos y datos: Usted reconoce que, como fabricante de dispositivos médicos, Xxxxxx está sujeta a determinados requisitos legales en relación con la calidad, la seguridad y la vigilancia posterior a la comercialización y que, como consecuencia de estas obligaciones legales xx Xxxxxx, esta puede estar obligada a utilizar datos relacionados con los Servicios que pueden estar contenidos en Xxxxxx.xxx o que se relacionan con Monitores y Dispositivos para los siguientes fines:
16. Tratamiento abusivo de datos personales de pacientes y Usuarios
(ii) No obstante lo dispuesto en el artículo 13, tanto la Clínica como Xxxxxx aceptan cumplir la Legislación de protección de Datos aplicable, así como aquellas leyes que se apliquen a sus respectivos tratamientos.
(B) sin perjuicio de lo dispuesto en el artículo 18, aplicar las medidas técnicas y organizativas adecuadas para salvaguardar la información personal de los Pacientes y Usuarios, teniendo en cuenta el estado de la técnica, el coste de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento adecuados al riesgo, incluidas las medidas establecidas en el anexo II del presente Acuerdo;
17. Sus obligaciones en materia de protección de datos: La Clínica está obligada y se compromete a informar a los Usuarios y Pacientes sobre nuestro tratamiento de datos personales en relación con el uso de los Servicios. La Clínica y sus Usuarios solo inscribirán en los Servicios a aquellos Pacientes a los que la Clínica haya facilitado el Aviso de Privacidad de Xxxxxx.xxx y, en su caso, haya obtenido previamente su consentimiento. Véase xxxxx://xxx.xxxxxxxxxxxxxx.xxxxxx/xxx/xx/xxxxxxxx/xxxxxx-xxx.xxxx. Cuando la Clínica esté obligada por la ley aplicable a obtener el consentimiento del Paciente para el uso de la información con fines adicionales, la Clínica proporcionará una copia de los consentimientos ejecutados x Xxxxxx. Este constituye un uso indebido de los Servicios la introducción de Datos relativos a un Paciente o a cualquier otra persona sin proporcionar previamente a dicha persona el Aviso de Privacidad de Xxxxxx.xxx y, en su caso, obtener el reconocimiento o consentimiento por escrito del Paciente o de la persona, o la confirmación de que el Paciente o la otra persona ha leído y aceptado el Aviso de Privacidad de Xxxxxx.xxx. Xxxxxx no aceptará ninguna responsabilidad en relación con el uso de los Servicios por parte de la Clínica, incluyendo el ingreso de Datos relacionados con un Paciente o cualquier otra persona, cuando estas condiciones no hayan sido satisfechas.
18. Seguridad: Hacemos esfuerzos comercialmente razonables para mantener la confidencialidad, integridad, disponibilidad y resistencia de los Servicios. Aceptamos mantener cualquier norma de seguridad de la información, como ISO 27001, durante la vigencia de este Acuerdo. La comunicación entre nuestro Sitio y las cuentas de los Usuarios está cifrada mediante
la tecnología de capa de conexión segura (SSL). No garantizamos que los Servicios sean ininterrumpidos o estén libres de errores.
19. Marketing: El contenido informativo proporcionado por los Usuarios de los Servicios puede utilizarse para personalizar y orientar el contenido de cualquier correo electrónico o SMS que pueda recibir de nosotros y que se utilice para mejorar nuestro servicio para usted como Usuario. Los visitantes o Usuarios de nuestro Sitio no recibirán ninguna solicitud de marketing por nuestra parte como resultado de su visita a nuestro Sitio, ni venderemos o utilizaremos la información para fines distintos de los servicios prestados a través de Xxxxxx.xxx.
20. Resolución: El presente Acuerdo será efectivo mientras la Clínica tenga un Administrador o Usuario y continuará en vigor hasta su resolución. La Clínica puede resolver este Acuerdo en cualquier momento notificándonos por escrito con 30 días de anticipación. Podemos resolver este Acuerdo por su incumplimiento material dándole un aviso por escrito con 30 días de anticipación, a menos que usted subsane su incumplimiento en ese período. Podemos resolver este Acuerdo en cualquier momento notificándoselo por escrito con 90 días de anticipación.
21. Exclusiones y limitaciones de responsabilidad:
daños, cargos o gastos de cualquier tipo que surjan de o en relación con este Acuerdo (ya sea en garantía, contrato o agravio, incluida la negligencia, el delito o la responsabilidad por productos defectuosos, incluso si se ha informado de la posibilidad de que se produzcan), incluidos, entre otros, gastos médicos, honorarios de abogados, pérdida de ingresos o beneficios (ya sea directa o indirecta), pérdida o interrupción de negocio, pérdida de fondo de comercio, pérdida de ahorros previstos, pérdida de uso o pérdida o corrupción de datos o información. En ningún caso Xxxxxx o cualquiera de sus sociedades afiliadas involucradas en la provisión de los Servicios aceptará ninguna forma de responsabilidad o será responsable conjuntamente con Xxxxxx.
o comunicaciones, por interceptación o comprometimiento de los Servicios, incluyendo (entre otros) los servicios de la red o cualquier registro u otra comunicación proporcionada por usted, cualquier Paciente o por nosotros en virtud de este Acuerdo.
(vi) Nada de lo dispuesto en el presente Contrato limita o excluye la responsabilidad por muerte
o lesiones personales resultantes de negligencia, un acto u omisión por cualquier daño o responsabilidad incurridos como resultado de nuestro fraude o tergiversación fraudulenta o mala conducta intencionada, o negligencia grave flagrante, lo que significa una indiferencia flagrante a un grado grave de negligencia equivalente a una indiferencia temeraria.
22. Indemnizaciones: Indemnizaremos a la Clínica contra cualquier reclamación o acción de terceros que alegue una infracción de su patente, derechos de autor, marca registrada, secreto comercial u otra propiedad intelectual o derecho de propiedad que surja de su recepción de los Servicios según este Acuerdo. Como condición de esta protección, la Clínica debe notificarnos rápidamente por escrito la acción o reclamación, darnos el derecho a elegir representación legal y controlar la defensa, y cooperar plenamente con nosotros en la defensa de dicha reclamación o acción.
23. Medidas correctivas: Las infracciones del presente Acuerdo podrán ser investigadas y podrán emprenderse las acciones legales pertinentes, incluidas las civiles, penales o de equidad. Usted entiende y acepta que Xxxxxx, a su exclusiva discreción, y sin previo aviso, puede poner fin a su acceso a nuestro Sitio, eliminar cualquier contenido de usuario no autorizado o ejercer cualquier otro recurso disponible si creemos, a nuestra exclusiva discreción, que su conducta o la conducta de cualquier persona con quien creemos que usted actúa en concierto, o el contenido de usuario que usted proporciona, viola o es incompatible con este Acuerdo o la ley aplicable o viola nuestros derechos o los derechos de nuestros afiliados, licenciantes u otro Usuario de nuestro Sitio. Usted acepta que los daños monetarios pueden no proporcionarnos una reparación
suficiente para las violaciones de este Acuerdo y usted da su consentimiento a la medida cautelar/interdicto u otra compensación equitativa para tales violaciones. Una versión impresa del presente Acuerdo y de cualquier notificación relacionada realizada en formato electrónico será admisible en procedimientos judiciales o administrativos basados en el presente Acuerdo o relacionados con el mismo en la misma medida y con sujeción a las mismas condiciones que otros documentos y registros comerciales generados y conservados originalmente en formato impreso.
24. Totalidad del acuerdo: El presente Acuerdo constituye la totalidad del acuerdo entre las Partes y reemplaza y extingue todos los acuerdos, promesas, garantías, manifestaciones y entendimientos previos entre estas, ya sea en forma verbal o escrita, en relación con su objeto. Cada parte acuerda que no tendrá ningún recurso con respecto a cualquier declaración, representación, seguridad o garantía (ya sea hecha de manera inocente o negligente) que no esté establecida en este Acuerdo. Cada una de las partes acuerda que no tendrá ninguna reclamación por tergiversación inocente o negligente o tergiversación negligente basada en cualquier declaración de este Acuerdo.
25. Contratistas independientes: La relación entre la Clínica y nosotros es únicamente la de contratistas independientes y nada de lo dispuesto en este Acuerdo tiene la intención de crear una sociedad o empresa conjunta entre la Clínica y nosotros.
26. Cesión: No puede ceder ninguno de sus derechos o responsabilidades en virtud de este Acuerdo sin nuestro consentimiento previo por escrito, incluso en relación con la transferencia de control o propiedad de sus ubicaciones o práctica médica. Entendemos que las personas y entidades bajo contrato con usted pueden realizar determinados servicios administrativos en su nombre en virtud de este Acuerdo.
27. Beneficio de las Partes: Usted y nosotros tenemos la intención específica de que usted y nosotros seamos los únicos beneficiarios de este Acuerdo. Ningún Paciente u otra persona o entidad que sea una tercera parte de este Acuerdo, aparte de otros miembros de nuestro grupo de empresas como se establece expresamente en este documento, tendrá ningún derecho en virtud o en relación con este Acuerdo, a menos que la ley le otorgue otro derecho.
28. Continuidad contractual: Cualquier parte o promesa de este Acuerdo que, por su naturaleza práctica, sobreviviría a la resolución de este Acuerdo, sobrevivirá.
29. Fuerzas intervinientes: Si una parte no puede cumplir con sus obligaciones o sus propósitos bajo este Acuerdo debido a causas ajenas a su control, incluidas, entre otras, por una causa de fuerza mayor, enemigo público, guerra, motín, desastre, tormenta, terremoto, otras fuerzas naturales, por orden del gobierno, decreto o aviso, por emergencia pública, huelga, reducción significativa de los sistemas de transporte o servicios de comunicaciones, o por los actos intencionales de cualquier persona que no sea parte de este Acuerdo, entonces esa parte, mediante notificación por escrito a la otra, será eximida de dicho cumplimiento durante la duración razonable de ese evento.
30. Exención: Si cualquiera de las partes renuncia a cualquier incumplimiento de este Acuerdo, no se considerará una renuncia a cualquier otro incumplimiento de este Acuerdo. El hecho de que no insistamos en el estricto cumplimiento de cualquiera de los términos y condiciones de este Contrato no supondrá una renuncia por nuestra parte a dicho incumplimiento o incumplimiento posterior.
31. Divisibilidad: Si, por cualquier motivo, cualquier término, disposición o parte de este Acuerdo es inválido, ilegal o no puede aplicarse en cualquier jurisdicción, todos los demás términos, disposiciones o partes permanecerán en vigor ni afectarán a ningún otro término, disposición o parte, ni invalidarán o harán inaplicable dicho término, disposición o parte en cualquier otra jurisdicción. La parte inválida o inaplicable será reformada solo en la medida necesaria para hacerla válida y aplicable y, tras dicha determinación, tal reforma tratará de dar efecto a la intención original de las Partes tal y como se establece en este Acuerdo en la mayor medida posible.
32. Reserva de derechos en los Servicios: Sujeto a los derechos limitados expresamente otorgados a continuación, nos reservamos todos los derechos, títulos e intereses en y para los Servicios, incluidos todos los derechos de propiedad intelectual relacionados. No se le otorgan derechos distintos a los expresamente establecidos en este documento.
33. Idioma: Las Partes acuerdan que el inglés será el idioma oficial de este Acuerdo y de todos los documentos contemplados en este Acuerdo. Si hay algún conflicto, conflicto aparente o
ambigüedad entre cualquiera de las cláusulas de este Acuerdo en inglés y el idioma traducido, prevalecerá la redacción en inglés.
34. Legislación aplicable y lugar de jurisdicción:
35. Resolución de litigios: Si surgiera una controversia entre las Partes en relación con el presente Acuerdo, las Partes intentarán resolver dicha controversia de buena fe mediante negociaciones directas entre los representantes de cada Parte. Si dicha negociación no resuelve el asunto dentro de los veintiocho (28) días siguientes a la notificación de la disputa, el asunto se resolverá mediante el siguiente procedimiento alternativo de resolución de disputas («ADR», por sus siglas en inglés), excepto en la medida en que el presente Acuerdo esté sujeto a la jurisdicción exclusiva de los tribunales de un país, tal y como se establece expresamente en el artículo 34.
Para iniciar un procedimiento ADR, una Parte deberá notificar por escrito a la otra Parte las cuestiones que deben resolverse mediante un ADR. En los catorce (14) días siguientes a la recepción de la notificación de ADR, la otra Parte podrá, mediante notificación escrita, añadir cuestiones adicionales que deban resolverse. En los veintiún (21) días siguientes a la recepción de la notificación original del ADR, las Partes seleccionarán a un árbitro, independiente, imparcial y libre de conflictos, mutuamente aceptable, para que presida el procedimiento. Si las Partes no consiguen ponerse de acuerdo sobre un árbitro mutuamente aceptable dentro de dicho plazo, cada Parte seleccionará un árbitro independiente, imparcial y libre de conflictos y ambos árbitros seleccionarán un tercer árbitro independiente, imparcial y libre de conflictos en los diez (10) días siguientes. Ninguno de los árbitros seleccionadas podrá ser empleado, directivo o administrador actual o anterior de ninguna de las Partes ni de sus filiales o empresas asociadas. Las Partes se reunirán en un lugar mutuamente acordado para celebrar una audiencia ante el árbitro a más tardar cincuenta y seis (56) días después de la selección del árbitro (a menos que las Partes acuerden otra cosa).
El proceso ADR incluirá un intercambio previo a la audiencia de las pruebas y un resumen de los testimonios de los testigos en los que se basa cada Parte, las resoluciones y soluciones propuestas para cada asunto, y un escrito en apoyo de las resoluciones y soluciones propuestas por cada Parte que no exceda de veinte (20) páginas. El intercambio previo a la audiencia debe completarse a más tardar diez (10) días antes de la fecha de la audiencia. Cualquier disputa relacionada con el intercambio previo a la audiencia será resuelta por el árbitro. No se permitirá la revelación de pruebas por ningún medio, incluidas deposiciones, interrogatorios, solicitudes de admisión o producción de documentos. La lengua que se utilizará en el procedimiento ADR será el inglés, salvo acuerdo en contrario de las Partes.
La audiencia se celebrará en dos (2) días consecutivos, y cada Parte tendrá derecho a cinco (5) horas de audiencia para presentar su caso, incluido el contrainterrogatorio. El árbitro adoptará en su totalidad la propuesta de resolución y recurso de una de las Partes sobre cada cuestión controvertida, pero podrá adoptar las propuestas de resolución y recurso de una Parte sobre algunas cuestiones y las propuestas de resolución y recurso de la otra Parte sobre otras cuestiones. El árbitro se pronunciará en un plazo de catorce (14) días a partir de la audiencia, no emitirá ninguna opinión por escrito y no remitirá ninguna parte del litigio a mediación sin el consentimiento previo y por escrito de las Partes. Las resoluciones del árbitro serán vinculantes e inapelables y podrán ser declaradas firmes por cualquier tribunal competente. El árbitro o árbitros percibirán unos honorarios razonables más los gastos. Estos honorarios y gastos, junto con los honorarios y gastos legales razonables de la Parte vencedora (incluidos todos los honorarios y
gastos de peritos), los honorarios y gastos de un taquígrafo judicial, y cualquier gasto de una sala de audiencia, se pagarán de la siguiente manera:
36. Aviso sobre Apple: Este artículo solo se aplica en la medida en que utilice nuestra aplicación o aplicaciones móviles en un dispositivo iOS en relación con los Servicios. Usted reconoce que el presente Contrato se celebra únicamente entre usted y nosotros, y no con Apple Inc. («Apple»), y que Apple no es responsable de los Servicios ni de su contenido. El derecho del usuario a utilizar los Servicios en forma de aplicación en un dispositivo iOS se limita a una licencia intransferible para utilizar la aplicación en cualquier producto de la marca Apple que el usuario posea o controle y según lo permitido por las Normas de uso establecidas en las Condiciones de los Servicios multimedia de Apple. Apple no tiene ninguna obligación de proporcionar ningún servicio de mantenimiento y asistencia con respecto a los Servicios. En caso de que los Servicios no cumplan cualquier garantía aplicable, usted podrá informar de ello a Apple y Apple le reembolsará el precio de compra de la aplicación y, en la máxima medida permitida por la legislación aplicable, Apple no tendrá ninguna otra obligación de garantía con respecto a los Servicios. Apple no es responsable de atender ninguna reclamación suya o de terceros relacionada con los Servicios o con su posesión o uso de los Servicios, incluyendo: (a) reclamaciones de responsabilidad por productos defectuosos; (b) cualquier reclamación de que los Servicios no se ajusten a cualquier requisito legal o reglamentario aplicable; y (c) reclamaciones derivadas de la legislación sobre protección del consumidor, privacidad o similar. Dicha responsabilidad se reparte entre usted y nosotros en virtud del presente Acuerdo. Apple no se responsabiliza de la investigación, defensa, resolución y exención de cualquier reclamación de terceros en la que se afirme que los Servicios o su posesión y uso de los Servicios infringe los Derechos de propiedad intelectual de dicho tercero. Usted cumplirá los términos aplicables de terceros cuando utilice los Servicios. Apple, y las filiales de Apple, son terceros beneficiarios de este Acuerdo, y tras su aceptación de este Acuerdo, Apple tendrá el derecho (y se considerará que ha aceptado el derecho) de hacer cumplir este Acuerdo contra Usted como tercero beneficiario de este Acuerdo. Usted acepta que Apple no es responsable de ningún servicio de mantenimiento y asistencia en relación con los Servicios.
37. Aviso sobre Google: Este artículo solo se aplica en la medida en que utilice nuestra aplicación o aplicaciones móviles en un dispositivo Android en relación con los Servicios. Usted reconoce que el presente Acuerdo se celebra únicamente entre usted y nosotros, no con Alphabet Inc. («Google»), y que Google no es responsable de los Servicios ni de su contenido. Usted acepta que Google no es responsable de los servicios de mantenimiento y asistencia relacionados con los Servicios. La Clínica se compromete a utilizar los Datos únicamente para prestar asistencia a los Pacientes.
38. Cambios a este Acuerdo: Xxxxxx se reserva el derecho de cambiar este Acuerdo en cualquier momento a nuestra discreción y sin previo aviso. Se espera de los Usuarios de nuestro Sitio que comprueben periódicamente si se han producido cambios en este Acuerdo, ya que son vinculantes para usted. Le recomendamos que revise este Acuerdo cada vez que utilice nuestro Sitio. Las actualizaciones se indicarán mediante un cambio en la Fecha de entrada en vigor, y el uso continuado de nuestro Sitio y el acceso continuado al NCP y a los Servicios de Xxxxxx.xxx tras dicho cambio constituye su aceptación de seguir y estar vinculado por la versión más reciente de este Contrato. Podrá guardar o imprimir de forma legible las modificaciones de estas Condiciones de uso.
39. Definición xx Xxxxxx. Para efectos de este Contrato, Xxxxxx significa su sociedad local afiliada x Xxxxxx para su Ubicación principal, como aparece en xxxxx://xxx.xxxxxxxxxxxxxx.xxxxxx/xxx/xx/xxx/xxxxxxxx/xxxxxxx-xxxxxx-xxxxxxxxxx/xxxxxxxxxx.xxxx
40. Información de contacto: Si tiene alguna pregunta sobre este Acuerdo, si ya no desea ser Usuario de nuestro Sitio o si un Paciente ya no desea participar en Xxxxxx.xxx, póngase en contacto con nosotros en xxxxxxxxx@xxxxxx.xxx.
Para las clínicas ubicadas en Argentina:
INCORPORACIÓN DE CLAUSULAS STANDARD DEL ACUERDO MODELO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES ENTRE RESPONSABLE Y ENCARGADO (Ley 25.326)
Las Partes del Contrato han acordado el presente Acuerdo basado en cláusulas contractuales modelo:
Exportador de Datos: Clinic and in general data subjects as described in Annex I Domicilio: Clinic and data subject location
Ley Aplicable: Argentina
Autoridad Competente: Agencia de Acceso a la Información Pública Importador de Datos: Xxxxxx
Domicilio: See Xxxxx XX
Datos de Contacto del Importador: xxxxxxxxx@xxxxxx.xxx.
SECCIÓN I: CUESTIONES GENERALES
Cláusula 1. Finalidad, partes, ámbito de aplicación y definiciones
1.1. Finalidad
a) La finalidad de las presentes cláusulas contractuales modelo es garantizar y facilitar el cumplimiento de los requisitos previstos por la Ley aplicable para la transferencia internacional de Datos personales, a fin de cumplir los principios y deberes en la protección de los Datos personales.
b) Cualquier interpretación del presente Acuerdo deberá tener en cuenta estos fines.
1.2. Partes del contrato
a) Las Partes del contrato son el Exportador de datos y el Importador de datos.
b) El presente Acuerdo permite la incorporación de importadores o exportadores adicionales como Partes, mediante el formulario del Anexo A siguiendo el procedimiento previsto en la cláusula 5.
1.3. Ámbito de aplicación
El presente Acuerdo se aplicará a las transferencias internacionales de Datos personales realizadas entre el Exportador de datos y el Importador de datos de conformidad con las especificaciones del Anexo B. Todos los anexos forman parte del presente Acuerdo.
1.4. Definiciones
Los términos definidos se identifican en este Acuerdo con sus iniciales en mayúscula. A los fines del presente Acuerdo se entenderá por:
▪ Acuerdo: el presente contrato de transferencia internacional de Datos personales basado en las cláusulas contractuales modelo junto con su caratula y sus anexos.
▪ Anonimización: la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o reidentificación de una persona física sin esfuerzos desproporcionados.
▪ Autoridad de control competente: Autoridad de protección de datos personales del país del Exportador o del Importador de datos personales.
▪ Computación en la nube: modelo para habilitar el acceso a un conjunto de servicios computacionales (p. Ej., redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción con el proveedor del servicio.
▪ Consentimiento: manifestación de la voluntad, libre, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza el tratamiento de los datos personales que le conciernen.
▪ Datos Personales: cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.
▪ Datos personales sensibles: aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para este. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y xxxxxxx; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.
▪ Decisiones individuales automatizadas: Decisiones que produzcan efectos jurídicos al Titular o le afecten de manera significativa y que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
▪ Encargado: prestador de servicios que, con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del Responsable, trata datos personales a nombre y por cuenta de éste.
▪ Estándares: Estándares de Protección de Datos Personales para los Estados Iberoamericanos aprobados por la RIPD en 2017.
▪ Exportador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en territorio de un Estado que efectúe transferencias internacionales de datos personales, conforme a lo dispuesto en los presentes Estándares.
▪ Importador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en un tercer país que recibe datos personales de un Exportador de datos mediante una transferencia internacional de datos personales.
▪ Ley Aplicable: es la ley de protección de datos personales de la jurisdicción del Exportador de datos.
▪ Medidas administrativas, físicas y técnicas: medidas destinadas a evitar el daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los Datos personales aun cuando ocurra de manera accidental, suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales.
▪ Responsable: persona física o jurídica de carácter privado, autoridad pública, servicios u organismo que, solo o en conjunto con otros, determina los fines, medios, alcance y demás cuestiones relacionadas con un tratamiento de datos personales.
▪ Subencargado: cuando un Encargado del tratamiento recurre a otro Encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable.
▪ Terceros beneficiarios: Titular cuyos datos personales son objeto de una transferencia internacional en virtud del presente Acuerdo. El Titular es un tercero beneficiario de los derechos dispuestos en su favor en las CCM y por ende puede ejercer los derechos que las CCM le reconoce, aunque no haya suscripto el contrato modelo entre las partes.
▪ Titular: persona física a quien le conciernen los datos personales.
▪ Transferencia ulterior: Transferencia de datos realizada por el Importador de datos a un tercero situados fuera de la jurisdicción del Exportador de datos que cumple las garantías establecidas en las CCM.
▪ Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionadas,
de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.
▪ Vulneración de la seguridad de datos personales: cualquier daño, pérdida, alteración, destrucción, acceso y, en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental.
Cláusula 2. Efectos e invariabilidad de las cláusulas
2.1. Modificación de las cláusulas modelo. Límites
El presente Acuerdo basado en cláusulas modelo establece garantías adecuadas para el Titular en relación con las transferencias de datos de Responsables a Encargados, siempre que las Cláusulas no se modifiquen en su esencia respecto al modelo original, salvo para completar la carátula y los anexos. Esto no es óbice para que las Partes incluyan en un contrato más amplio las cláusulas contractuales modelo, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, a las presentes cláusulas contractuales modelo ni perjudiquen los derechos del Titular.
2.2. Jerarquía con la Ley Aplicable. Interpretación
a) El presente Acuerdo deberá leerse e interpretarse con arreglo a las disposiciones de la Ley Aplicable.
b) Las Partes podrán añadir nuevas definiciones de términos, resguardos y garantías adicionales en las presentes cláusulas modelo cuando ello resulte necesario para cumplir con la Ley aplicable y siempre y cuando ello no suponga un detrimento a las protecciones otorgadas por las cláusulas modelo.
c) El presente Acuerdo no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en la Ley aplicable.
d) El presente Acuerdo se entiende sin perjuicio de las obligaciones a las que esté sujeto el Exportador de datos en virtud de su legislación o de la Ley aplicable.
2.3. Jerarquía con otros acuerdos
En caso de contradicción entre el presente Acuerdo y las disposiciones de acuerdos conexos entre las Partes se establece que las cláusulas del presente Acuerdo prevalecerán.
Cláusula 3. Terceros beneficiarios
Cláusula 4. Descripción de la transferencia o transferencias, y sus finalidades
Cláusula 5. Cláusula de incorporación
a) Las Partes aceptan que cualquier entidad que no sea parte en el presente Acuerdo podrá, previo consentimiento de todas las Partes intervinientes, adherirse al presente Acuerdo en cualquier momento, ya sea como Exportador de datos o como Importador de datos firmando el modelo del anexo A, y completando los demás Anexos si corresponde.
b) Cuando haya firmado el Anexo A y completado los demás anexos en caso de que corresponda, la entidad que se adhiera se considerará Parte del presente Acuerdo y tendrá los derechos y obligaciones de un Exportador de datos o un Importador de datos, según la categoría en la que se haya adherido al Acuerdo según lo indicado en el Anexo A.
c) La entidad que se sume al Acuerdo no adquirirá derechos y obligaciones del presente Acuerdo derivados del período anterior a su adhesión.
SECCIÓN II: OBLIGACIONES DE LAS PARTES
Cláusula 6. Garantías en materia de protección de datos
6.1. Instrucciones
El Importador de datos realizará las actividades de tratamiento de los Datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitará sus actuaciones a los términos e instrucciones fijados por el Exportador de datos.
6.2. Principio de responsabilidad
a) El Exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el Importador de datos puede, aplicando medidas técnicas, legales y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente Acuerdo.
b) El Importador de datos implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en el presente Acuerdo, así como rendirá cuentas sobre el tratamiento de Datos personales en su posesión al Titular y a la Autoridad de control competente.
c) El Importador de datos revisará y evaluará permanentemente los mecanismos que para tal afecto adopte voluntariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de eficacia en cuanto al cumplimiento presente Acuerdo.
6.3. Principio de finalidad
El Importador de datos no podrá tratar los Datos personales objeto de este Acuerdo para finalidades distintas a aquéllas indicadas en el Anexo B, salvo cuando siga instrucciones adicionales del Exportador de datos.
6.4. Transparencia
a) Previa solicitud, las Partes pondrán gratuitamente a disposición del Titular una copia del presente Acuerdo. En cualquier caso, el Importador de datos asume de oficio la responsabilidad de informar de su existencia. Podrán excluirse aquellas secciones o anexos del Acuerdo que tengan secretos comerciales u otro tipo de información confidencial tales como Datos personales de terceros o información reservada en términos de la normativa aplicable a las Partes.
b) La presente cláusula se entiende sin perjuicio de las obligaciones que la Ley aplicable atribuyen al Exportador de datos.
6.5. Exactitud y minimización de datos
a) Si el Importador de datos tiene conocimiento de que los Datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al Exportador de datos sin dilación indebida.
b) En este caso, el Importador de datos colaborará con el Exportador de datos para suprimir o rectificar los datos.
6.6. Principio de Seguridad
a) El Importador de datos y, durante la transferencia, también el Exportador de datos establecerán y mantendrán Medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales objeto de este Acuerdo; en particular, la protección contra Vulneración de la seguridad de datos personales. A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los Titulares. Al cumplir las obligaciones que le impone el presente párrafo, el Importador de datos aplicará, al menos, las Medidas administrativas, físicas y técnicas que figuran en el Anexo C del presente Acuerdo. El Importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
b) En caso de Vulneración de la seguridad de datos personales tratados por el Importador de datos en virtud del presente Acuerdo, el Importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos.
c) El Importador de datos también notificará al Exportador de datos dentro del plazo de setenta y dos (72) horas una vez tenga conocimiento de la Vulneración de la seguridad.
Dicha notificación incluirá una descripción de la naturaleza de la Vulneración (en la que figuren, cuando sea posible, las categorías y el número aproximado de Titulares y registros de Datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la Vulneración de la seguridad, y especialmente, en su caso, medidas para mitigar sus posibles efectos negativos.
d) Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
e) El Importador de datos deberá colaborar con el Exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye la Ley aplicable, especialmente en cuanto a la notificación a la Autoridad de control competente y a los Titulares afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Importador de datos.
6.7. Tratamiento bajo la autoridad del Importador de datos y principio de confidencialidad
a) El Importador de datos se asegurará de que las personas que actúen bajo su autoridad solo traten los datos siguiendo sus instrucciones, y solo concederá acceso a los Datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del Acuerdo.
b) El Importador de datos garantizará que las personas autorizadas para tratar los Datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el Exportador de datos.
6.8. Tratamiento de Datos personales sensibles
a) En la medida en que la transferencia incluya Datos personales sensibles, el Importador de datos aplicará las restricciones específicas o las garantías adicionales descritas en el Anexo C de este Acuerdo.
b) En la medida que la transferencia incluya Datos personales concernientes a niñas, niños y adolescentes, el Importador deberá privilegiar la protección del interés superior de éstos, conforme a la Convención sobre los Derechos del Niño y demás instrumentos internacionales.
6.9. Transferencias ulteriores
a) El Importador de datos solo comunicará los Datos personales a un tercero siguiendo instrucciones documentadas del Exportador de datos.
i) Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la jurisdicción del Exportador si el tercero está vinculado por el presente Acuerdo o consiente a someterse a este. De no ser así, el Importador de datos solo podrá efectuar una Transferencia ulterior si: Para el caso que la Ley Aplicable así lo disponga, esta transferencia ulterior va dirigida a un país que ha sido objeto de una declaración de adecuación de su nivel de protección de datos personales con arreglo a lo dispuesto en la Ley Aplicable, siempre que tal declaración cubra la Transferencia ulterior;
ii) el tercero destinatario de la Transferencia ulterior aporta de algún modo garantías adecuadas, con arreglo a lo dispuesto en la Ley aplicable, respecto a los Datos personales sujetos a la Transferencia ulterior;
iii) la Transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
iv) si es necesario para proteger intereses vitales del Titular o de otra persona física.
b) Toda Transferencia ulterior estará sujeta a que el Importador de datos adopte las demás garantías previstas en el presente Acuerdo y, en particular cumpla con el principio de finalidad.
6.10. Documentación y cumplimiento
a) Las Partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente Acuerdo. En particular, el Importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo instrucciones del Exportador, que pondrán a disposición del Exportador de datos y de la Autoridad de control competente previa solicitud.
b) El Importador de datos resolverá con presteza y de forma adecuada las consultas del Exportador de datos relacionadas con el tratamiento con arreglo al presente Acuerdo.
c) El Importador de datos pondrá a disposición del Exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente Acuerdo y, a instancia del Exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente Acuerdo, a intervalos razonables o si existen indicios de incumplimiento. El Exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.
d) Las Partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren los párrafos anteriores y, en particular, los resultados de las auditorías.
6.11. Duración del tratamiento y supresión o devolución de los datos
a) El tratamiento por parte del Importador de datos solo se realizará durante el período especificado en el Anexo B de este Acuerdo.
b) Una vez se hayan prestado los servicios de tratamiento, el Importador de datos suprimirá de forma segura, a petición del Exportador de datos, todos los Datos personales tratados por cuenta del Exportador de datos y acreditará al Exportador de datos que lo ha hecho, o devolverá al Exportador de datos todos los datos y suprimirá de forma segura las copias existentes, si el Exportador de datos optare por esta última opción. Hasta que se destruyan o devuelvan los Datos personales, el Importador de datos seguirá garantizando el cumplimiento con el presente Acuerdo. Si el derecho del país aplicable al Importador de datos prohíbe la devolución o la destrucción de los Datos personales, el Importador de datos se compromete a seguir garantizando el cumplimiento del presente Acuerdo y solo tratará los datos en la medida y durante el tiempo que exija el derecho del país del Importador de datos.
Cláusula 7. Recurso a subencargados
7.1. Forma de autorización del subencargado
El Importador de datos cuenta con una autorización general del Exportador de datos para contratar a subencargados que figuren en una lista acordada. El Importador de datos informará al Exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos 15 días hábiles de antelación, de modo que el Exportador de datos tenga tiempo suficiente para formular una objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El Importador de datos proporcionará al Exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeciones.
7.2. Contrato con el subencargado
a) Cuando el Importador de datos recurra a un Subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del Exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al Importador de datos en virtud del presente Acuerdo, especialmente en lo que se refiere a los derechos de los Titulares en cuanto sean Terceros beneficiarios. Las Partes convienen que, al cumplir el presente Acuerdo, el Importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula relativa a Transferencias ulteriores. El Importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente Acuerdo.
b) El Importador de datos proporcionará al Exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger información confidencial, como Datos personales, el Importador de datos podrá proteger esa información antes de compartir la copia.
c) El Importador de datos seguirá siendo plenamente responsable ante el Exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El Importador de datos notificará al Exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.
Cláusula 8. Derechos de los Titulares
a) El Importador de datos notificará con presteza al Exportador de datos las solicitudes que reciba del Titular. No responderá a dicha solicitud por sí mismo, a menos que el Exportador de datos le haya autorizado a hacerlo.
b) El Importador de datos ayudará al Exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que la Ley aplicable atribuye a los Titulares. A este respecto, las Partes establecerán en el anexo C sobre medidas administrativas, físicas y técnicas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al Exportador a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
c) En el cumplimiento de las obligaciones que le atribuyen los dos párrafos anteriores, el Importador de datos seguirá las instrucciones del Exportador de datos.
Cláusula 9. Reclamaciones
a) El Importador de datos informará a los Titulares, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará las reclamaciones que reciba de los Titulares con la mayor brevedad. [OPCIÓN: El Importador de datos se aviene a que los Titulares también puedan presentar una reclamación ante un organismo independiente de resolución de litigios sin coste alguno para el Titular. Informará a los Titulares, en la forma establecida en este párrafo, de este mecanismo de reparación y de que no están obligados a recurrir a este ni a seguir una secuencia concreta de vías de reparación.]
b) En caso de litigio entre un Titular y una de las Partes en relación con el cumplimiento del presente Acuerdo, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las Partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán de buena fe para resolverlos.
c) El Importador de datos se compromete a aceptar y no controvertir, cuando el Titular invoque un derecho xx Xxxxxxx Beneficiario que deriven de este Acuerdo, la decisión del Titular de: (i) presentar una reclamación ante la autoridad de control de datos del Estado de su residencia habitual o su lugar de trabajo o ante la Autoridad de control competente;
(ii) ejercitar una acción judicial sobre sus Datos personales.
d) El Importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo a la Ley aplicable o el derecho de que se trate.
Cláusula 10. Responsabilidad civil
a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente Acuerdo.
b) El Importador de datos será responsable ante el Titular. El Titular tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el Importador de datos o su subencargado ocasionen al Titular por vulnerar los derechos de Terceros beneficiarios que deriven del presente Acuerdo. Lo anterior se entiende sin perjuicio de la responsabilidad del Exportador de datos con arreglo a la Ley aplicable.
c) Las Partes acuerdan que, si el Exportador de datos es considerado responsable, de conformidad el párrafo anterior, de los daños o perjuicios causados por el Importador de datos (o su subencargado), estará legitimado para exigir al Importador de datos la parte de la indemnización que sea responsabilidad del Importador de los datos.
d) Cuando más de una Parte sea responsable de un daño o perjuicio ocasionado al Titular como consecuencia de una vulneración del presente Acuerdo, todas las Partes responsables serán responsables solidariamente.
e) Las Partes acuerdan que, si una parte es considerada responsable con arreglo al párrafo anterior estará legitimada para exigir a la otra Parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
f) El Importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
Cláusula 11. Supervisión de la Autoridad competente
a) El Importador de datos acepta someterse a la jurisdicción de la Autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente Acuerdo.
b) En particular, el Importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la Autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la Autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.
Cláusula 12. Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
a) Las Partes confirman que, al momento de celebrar este Acuerdo, han realizado esfuerzos razonables para identificar si los datos transferidos están cubiertos por alguna ley o práctica local de la jurisdicción del Importador de datos que va más allá de lo que es necesario y proporcional en una sociedad democrática para salvaguardar importantes objetivos de interés público y puede razonablemente esperarse que afecte las protecciones, derechos y garantías otorgadas bajo este Acuerdo al Titular. En base a lo expuesto las Partes confirman que no están al tanto que dicha práctica o norma exista o afecte adversamente las protecciones específicas bajo este Acuerdo.
b) El Importador de datos se compromete a notificar en forma inmediata al Exportador de datos si alguna de estas leyes se le aplica en el futuro. De realizarse dicha notificación o si el Exportador de datos tiene motivos para creer que el Importador de datos ya no puede cumplir con las obligaciones de este Acuerdo, el Exportador de datos identificará las medidas apropiadas (por ejemplo, medidas administrativas, físicas y técnicas para garantizar la seguridad) para remediar la situación. Asimismo, podrá suspender las transferencias objeto de este Acuerdo si considera que no pueden asegurarse las garantías adecuadas. En este caso, el Exportador de datos tendrá derecho a rescindir este Acuerdo de conformidad con lo dispuesto en la cláusula 13.
c) Si un tribunal o una agencia gubernamental requiere que el Importador de datos divulgue o utilice los datos transferidos de una manera que de otro modo no estaría permitida por este Acuerdo, el Importador de datos revisará la legalidad de dicha solicitud y la impugnará si, después de una evaluación legal cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según la legislación local y afecta los derechos garantizados por este Acuerdo. En la medida en que esto esté permitido por la ley local, también deberá informar de inmediato al Exportador de datos que ha recibido dicha solicitud. Si el Importador de datos tiene prohibido notificar al Exportador de datos según la ley local, hará todo lo posible para obtener una exención de la prohibición.
SECCIÓN III: DISPOSICIONES FINALES
Cláusula 13. Incumplimiento de las cláusulas y resolución del contrato
a) El Importador de datos informará inmediatamente al Exportador de datos en caso de que no pueda dar cumplimiento a alguna de las cláusulas de este Acuerdo por cualquier motivo.
b) En caso de que el Importador de datos incumpla las obligaciones que le atribuye el presente Acuerdo, el Exportador de datos suspenderá la transferencia de datos personales al Importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato.
c) El Exportador de datos estará facultado para resolver este Acuerdo cuando:
i) el Exportador de datos haya suspendido la transferencia de datos personales al
Importador de datos con arreglo al párrafo anterior y no se vuelva a dar cumplimiento al presente Acuerdo en un plazo razonable y, en cualquier caso, en un plazo de treinta
(30) días hábiles a contar desde la suspensión;
ii) el Importador de datos vulnere de manera sustancial o persistente el presente Acuerdo; o
iii) el Importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o Autoridad de control competente en relación con las obligaciones que le atribuye el presente Acuerdo. En este supuesto, informará a la Autoridad de control competente de su incumplimiento.
d) Los Datos personales que se hayan transferido antes de la resolución del contrato deberán, a elección del Exportador de datos, devolverse inmediatamente al Exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El Importador de datos acreditará la destrucción de los datos al Exportador de datos. Hasta que se destruyan o devuelvan los datos, el Importador de datos seguirá garantizando el cumplimiento con el presente Acuerdo. Si el derecho del país aplicable al Importador de datos prohíbe la devolución o la destrucción de los Datos personales transferidos, el Importador de datos se compromete a seguir garantizando el cumplimiento del presente Acuerdo y solo tratará los datos en la medida y durante el tiempo que exija el derecho del país.
Cláusula 14. Derecho aplicable
El presente Acuerdo se regirá por la Ley Aplicable.
Cláusula 15. Elección del foro y jurisdicción
a) Cualquier controversia derivada del presente Acuerdo será resuelta judicialmente en los tribunales de la jurisdicción del Exportador de datos.
b) Los Titulares también podrán ejercer acciones judiciales contra el Exportador de datos o el Importador de datos, las que podrán ser iniciadas, a elección del Titular, en el país del Exportador de datos, o en el que el Titular tenga su residencia. Con respecto al Importador de datos, también podrán ejercer acciones judiciales en el país del Importador de datos.
c) Las Partes acuerdan someterse a la jurisdicción prevista en esta cláusula.
Anexo A Véase el Anexo I del Acuerdo
Anexo B Véase el Anexo I del Acuerdo y sus condiciones generales de uso Anexo C Véase el Anexo II del Acuerdo
Anexo D Véase el Anexo I del Acuerdo Anexo E Véase la Política de Privacidad
ANEXO I: DESCRIPCIÓN DEL TRATAMIENTO
Categorías de interesados cuyos datos personales se tratan
(i) Aquellos empleados de la clínica u otros usuarios autorizados a los que se les proporcione un identificador de usuario administrativo para la Red de Atención al Paciente Xxxxxx.xxx™ y aquellos usuarios autorizados de la clínica a los que se les proporcione un identificador de usuario para la Red de Atención al Paciente Xxxxxx.xxx™; y
(ii) Pacientes inscritos en Xxxxxx.xxx por una clínica.
Categorías de datos personales tratados
Empleados de la clínica u otros Usuarios autorizados: nombre, número de teléfono, dirección de correo electrónico, nombre de la clínica y país de la clínica. La información adicional, si la proporciona la clínica, incluye el cargo o función y la ID de la clínica.
Pacientes inscritos en Xxxxxx.xxx™ por usted: Los campos de datos obligatorios del paciente incluyen la fecha de nacimiento, el número de serie del dispositivo implantado e información relativa al funcionamiento del dispositivo implantado. El nombre y los apellidos del paciente pueden ser necesarios dependiendo de si la clínica proporciona una identificación del paciente. En función del dispositivo implantado, se puede requerir el teléfono principal, el correo electrónico o la fecha de implantación del paciente. Los datos adicionales del paciente, si los facilita la clínica, incluyen el sexo,
el idioma preferido, un número de paciente asignado por la clínica u otro identificador del paciente, y un contacto de emergencia para el paciente, incluido su nombre, número de teléfono y dirección.
Los datos adicionales del paciente, si los facilita la clínica, incluyen raza, medicación, hospitalizaciones, información sobre su estado de salud, diagnósticos y tratamiento.
Naturaleza del tratamiento
Los datos personales transferidos se someterán a las siguientes operaciones de tratamiento:
▪ recibir los datos, incluyendo la recogida, el acceso, la recuperación, el registro y la entrada de datos;
▪ conservar los datos, incluyendo el almacenamiento, organización y estructuración;
▪ proteger los datos, incluyendo la restricción, el cifrado y las pruebas de seguridad;
▪ devolver los datos al exportador de datos;
▪ eliminar los datos, incluyendo la destrucción y borrado;
▪ prestar soporte para los dispositivos cardíacos implantados;
▪ en el caso de los dispositivos que admiten funciones de programación remota, lo que permite al profesional sanitario realizar ajustes en los dispositivos de forma remota a través de Xxxxxx.xxx;
▪ formar a los Clientes y realizar el mantenimiento de Xxxxxx.xxx;
▪ recogida y almacenamiento de datos;
▪ transmisión a través de transmisores electrónicos (monitores);
▪ información y transmisión de informes;
▪ a su petición, asistencia para la interpretación o el análisis de determinada información relacionada con los dispositivos; y
▪ servicios de asistencia técnica y clínica; y
▪ los Pacientes implantados con un dispositivo cardíaco xx Xxxxxx pueden enviar transmisiones automatizadas de la información recogida de su respectivo dispositivo médico implantado a Xxxxxx.xxx para que la clínica y el equipo médico de ese Paciente reciban actualizaciones periódicas sobre el funcionamiento y el estado de su dispositivo cardíaco implantado, con fines de vigilancia a distancia de determinados aspectos del estado del Paciente.
Finalidad o finalidades para las que se tratan los datos personales por cuenta del responsable del tratamiento
Para proporcionar, operar y mantener la Red de Atención al Paciente Xxxxxx.xxx™, incluido el tratamiento necesario para proporcionar servicios de asistencia en relación con el funcionamiento de los Dispositivos supervisados por los Servicios Xxxxxx.xxx.
Duración del tratamiento
El importador de datos seguirá almacenando los datos personales de los pacientes del exportador de datos durante el periodo en que el Responsable del tratamiento utilice los servicios, a menos que el Responsable del tratamiento opte por eliminar antes los datos personales de sus pacientes. Además, el encargado del tratamiento podrá conservar los datos personales de conformidad con los requisitos legales aplicables.
Terceros involucrados en el tratamiento de datos personales
Nombre del subencargado del tratamiento | Dirección del subencargado del tratamiento | Descripción de los servicios | Ubicación desde donde se prestan los servicios |
Xxxxxx Laboratories | 00000 Xxxxxx Xxxx Xxxxx, Xxxxxx, Xxxxxxxxxx 00000 EE.UU., | Proporcionar, operar y mantener la Red de Atención al Paciente Xxxxxx.xxx™ | EE. UU. |
Microsoft Azure | 000 Xxxxxxxx Xxx XX - 00xx Xxxxx Xxxxxxxx, Xxxxxxxxxx, 00000 EE. UU. | Servicio de alojamiento Azure para datos cifrados a partir del 3T23 | EE. UU. |
Twilio | 000 Xxxxx Xxxxxx, Xxxxx Xxxxx, Xxx Xxxxxxxxx, Xxxxxxxxxx 00000 EE. UU. | Utilizada por Xxxxxx Heart Failure para el servicio automatizado de mensajes telefónicos descrito en el Aviso de privacidad de Xxxxxx. | EE. UU. |
Five9 | 0000 Xxxxxx Xxxxx, Xxxxx 000, Xxx Xxxxx, Xxxxxxxxxx 00000 XX. XX. | Utilizado por la División de Gestión de CardioRitmos como sistema de comunicaciones telefónicas basado en la nube para los servicios de asistencia de Xxxxxx. | EE. UU. |
Salesforce | 000 Xxxxxxx Xxxxxx, 0xx Xxxxx, Xxx Xxxxxxxxx, Xxxxxxxxxx 00000, Xxxxxxx Xxxxxx | Sistema de gestión de las relaciones con los clientes utilizado por la División de Gestión de CardioRitmos xx Xxxxxx para prestar servicios de asistencia a los dispositivos SyncUp. | EE. UU. |
ANEXO II MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
MEDIDAS DE LA RED DE ATENCIÓN AL PACIENTE XX XXXXXX XXXXXX.XXX™
Acreditaciones/Certificaciones 1. ISO 27001:
Xxxxxx y Xxxxxx.xxx están certificadas con la norma de Gestión de Seguridad de la Información ISO/IEC 27001:2013. La certificación de la ISO reconoce que Xxxxxx.xxx ha establecido procesos y normas que mantienen los niveles requeridos de confidencialidad, integridad y disponibilidad para los clientes. Una copia actual de la certificación ISO para Xxxxxx.xxx está disponible a petición.
Medidas de seguridad
Xxxxxx ha puesto en práctica las siguientes medidas de seguridad técnicas y organizativas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de sus sistemas y servicios de tratamiento:
1. Control del acceso físico a las zonas de tratamiento (confidencialidad):
Las medidas tomadas por el proveedor de servicios en la nube líder en la industria xx Xxxxxx para impedir el acceso no autorizado a equipos de tratamiento de datos (por ejemplo, teléfonos, servidores de bases de datos y de aplicaciones y el hardware asociado) en los que se tratan Datos personales incluyen las siguientes medidas apropiadas:
(i) los activos de Xxxxxx.xxx están alojados en dos centros de datos informáticos con certificación ISO/IEC 27001:2013;
(ii) los centros de datos están vigilados las 24 horas del día por guardias de seguridad o cámaras de seguridad que pueden detectar y rastrear a personas no autorizadas;
(iii) el acceso físico a las instalaciones, incluidos los centros de datos, se concede en función de la responsabilidad del puesto y requiere la aprobación de la dirección;
(iv) los visitantes firman un registro de visitas antes de entrar y deben ser escoltados por personal xx Xxxxxx en todo momento; y
(v) se implementan, se documentan y se comprueban periódicamente los derechos de acceso físico y controles de autenticación (por ejemplo, lectores de tarjetas) en los puntos de entrada y salida.
2. Control de acceso a los sistemas de tratamiento de datos (confidencialidad):
Xxxxxx toma las medidas adecuadas para impedir que sus sistemas de tratamiento de datos sean utilizados por personas no autorizadas. Esto se consigue de la siguiente manera:
(i) autenticación multifactorial;
(ii) restricción del acceso a los servicios mediante cifrado, algoritmos de firma y certificados seguros;
(iii) almacenamiento de datos en una base de datos segura que utiliza cifrado a nivel de disco;
(iv) uso de cifrado y requisitos de contraseña estándares del sector (por ejemplo, longitud mínima, uso de caracteres especiales, caducidad, etc.); y
(v) bloqueo del acceso después de intentos fallidos de iniciar sesión o de periodos de inactividad, y un método para restablecer identificadores de acceso bloqueados.
3. Control de acceso para el uso de ciertas áreas de sistemas de tratamiento de datos por personal autorizado xx Xxxxxx (confidencialidad):
El personal autorizado para utilizar los sistemas de tratamiento de datos xx Xxxxxx solo podrá acceder a los Datos personales cuando tengan suficientes permisos de acceso. Con este fin, Xxxxxx ha implementado los siguientes controles:
(i) el acceso se restringe según las funciones y responsabilidades y se otorga a los usuarios de conformidad con los principios de necesidad de conocer y de menor privilegio;
(ii) el acceso privilegiado se concede a los administradores autorizados, de acuerdo con las responsabilidades del trabajo;
(iii) los derechos de acceso se revisan periódicamente para garantizar que se conceden los derechos de acceso correctos;
(iv) cuando cambian las funciones y responsabilidades, se eliminan los derechos de acceso, incluso en caso de cese; y
(v) medidas disciplinarias eficaces contra las personas que accedan a Datos personales sin autorización.
4. Configuración de la clínica y seguridad
El grupo de Operaciones de Atención a Distancia xx Xxxxxx es responsable de la configuración inicial de las clínicas en el momento de la inscripción. Se proporciona una cuenta de administrador de la clínica con el fin de crear, administrar y mantener los identificadores de los usuarios. Los usuarios de la clínica, incluidos los administradores, son responsables de proteger sus credenciales de Xxxxxx.xxx. Se aplican los siguientes controles:
(i) los médicos de la clínica tienen restringido el acceso directo a la base de datos y a la infraestructura de apoyo de Xxxxxx.xxx;
(ii) para fines de soporte y solución de problemas el personal autorizado xx Xxxxxx utiliza una cuenta administrativa designada;
(iii) se establecen las configuraciones mínimas de los parámetros de la contraseña por defecto; y
(iv) Xxxxxx.xxx ofrece una autenticación de dos factores, que los clientes pueden optar por aplicar.
5. Control de transferencia (integridad):
Xxxxxx toma medidas para evitar que los datos personales sean leídos, copiados, alterados o borrados por personas no autorizadas durante su transmisión o transferencia. Esto se consigue de la siguiente manera:
(i) la transferencia de datos xx xxxxxxx externas a la infraestructura de Xxxxxx.xxx está encriptada;
(ii) los servidores utilizan una conectividad de red segura que está restringida solo a HTTPS; y
(iii) se han establecido políticas y normas para restringir el uso de medios extraíbles con fines de transporte y en los ordenadores portátiles de la empresa u otros dispositivos móviles.
6. Control de entrada (integridad):
Xxxxxx no accede a los datos personales para fines distintos de los establecidos en el Acuerdo de NCP de Xxxxxx.xxx™ y en el Acuerdo de tratamiento de Datos (DPA, por sus siglas en inglés).
Xxxxxx toma las medidas adecuadas para proteger los datos personales contra el acceso o la eliminación no autorizados. Esto se consigue de la siguiente manera:
(i) medidas de protección para la lectura, modificación y eliminación de los datos guardados;
(ii) documentación para controlar qué personas están autorizadas y son responsables de realizar entradas en los sistemas de tratamiento de datos en función de sus tareas; y
(iii) protocolos que requieren el registro de posibles entradas o eliminaciones de datos personales.
7. Control de órdenes:
Xxxxxx toma medidas para asegurar que, cuando se traten datos personales, se haga estrictamente de acuerdo con sus instrucciones. Esto se consigue de la siguiente manera:
(i) Instrucciones claras para Xxxxxx sobre el alcance del tratamiento de Datos personales requerido según se establece en el Acuerdo y este DPA.
8. Control de la disponibilidad (disponibilidad):
Xxxxxx toma medidas para asegurarse de que los datos personales estén protegidos de la destrucción o pérdida accidental. Esto se consigue de la siguiente manera:
(i) copias de seguridad periódicas de los datos y restauraciones periódicas;
(ii) los registros de respaldo son supervisados y existen protocolos de escalamiento en caso de un fallo crítico;
(iii) uso de software antivirus y antimalware para protegerse contra amenazas maliciosas como virus, gusanos y programas espía;
(iv) realización de escaneos de vulnerabilidad interna y externa de manera periódica; e
(v) implementación de un Plan de continuidad de negocios, que incluye un Plan de recuperación de desastres informáticos, que enumera las funciones, tareas y responsabilidades.
9. Separación del tratamiento para diferentes fines:
Xxxxxx toma medidas para asegurarse de que los datos personales estén protegidos de la destrucción o pérdida accidental. Esto se consigue de la siguiente manera:
(i) garantizando la seguridad proporcionada por bases de datos, separando las bases de datos de producción y de soporte y las de supervisión de sistemas; y
(ii) diseñando las interfaces, los procesos por lotes y los informes solo con fines y funciones específicos, de modo que los datos recogidos con fines específicos se traten por separado.
10. Resiliencia:
Xxxxxx ha aplicado las siguientes medidas de seguridad técnicas y organizativas, en particular para garantizar la fiabilidad de sus sistemas y servicios de tratamiento:
(i) políticas y procedimientos de gestión de la protección de datos;
(ii) políticas y procedimientos de respuesta a incidentes;
(iii) preajustes favorables a la protección de datos (en virtud del artículo 25, apartado 1), del Reglamento (UE) 2016/679; y
(iv) control de órdenes.
Imprima una copia de este Acuerdo para su registro.