Acuerdo de procesamiento de datos

Acuerdo de procesamiento de datos - Rods&Cones actuando como procesador

El presente acuerdo de tratamiento de datos ("APD"), significa que los abajo firmantes:

Rods&Cones BV, sociedad constituida de conformidad con la legislación belga, con domicilio social en Oudebaan 2, 2350 Vosselaar, Bélgica, e inscrita en el registro mercantil de la Cámara de Comercio con el número BE0741.795.919, o Rods&Cones Sales B.V., sociedad constituida de conformidad con la legislación de los Países Bajos, con domicilio social en Apollolaan 69-3; 1077AH Amsterdam, Países Bajos, e inscrita en el registro mercantil de la Cámara de Comercio con el número 80331947 (en lo sucesivo, "Varillas&Conos/Procesador"),

en lo sucesivo también se denominará conjuntamente como el "Fiestas" y cada uno por separado como "Fiesta";

Declara haber acordado lo siguiente:

Rods&Cones proporcionará la Solución de asistencia remota en la medida en que esté disponible en virtud del Acuerdo subyacente para reflejar el acuerdo de las partes con respecto al Tratamiento de Datos Personales.

En el curso de la prestación de los Servicios al Cliente de conformidad con la DPA, Rods&Cones podrá Procesar Datos Personales en nombre del Cliente y las Partes acuerdan cumplir con las siguientes disposiciones con respecto a cualquier Dato Personal, cada una actuando razonablemente y de buena fe.

Con efecto a partir del 25 de mayo de 2018, Cañas y huesos tratará los Datos Personales de conformidad con el Reglamento General de Protección de Datos, o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, por el que se deroga la Directiva 95/46/CE (en adelante indicado como: 'GDPR".) aplicables directamente a Varas y huesos". la prestación de sus Servicios.

  1. Definiciones
"Afiliado"se refiere a cualquiera de las entidades que forman parte del grupo de empresas Rods&Cones.
"Datos personalesse entenderá cualquier información relativa a una persona física identificada o identificable (sujeto de los datos);
"Sujeto de los datos"se entenderá que una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física;
"Violación de datos personales"se entenderá una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales transmitidos, almacenados o tratados de otro modo;
"Proceso/Tratamiento"se entenderá cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o combinación, limitación, supresión o destrucción;
"Solución"se entenderá la Asistencia Remota de Rods&Cones, tal y como la encargó el Cliente en virtud del acuerdo subyacente, así como la documentación correspondiente.
"Categorías especiales de datos"se entenderán los datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a un sindicato; los datos genéticos, los datos biométricos tratados con el fin de identificar unívocamente a una persona física; los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona física;
"Subprocesador"se entenderá cualquier procesador de datos contratado por el Procesador que acepte recibir del Procesador Datos Personales exclusivamente destinados a las actividades de procesamiento que se llevarán a cabo en nombre del Controlador de acuerdo con sus instrucciones, los términos de este DPA y los términos de un subcontrato escrito;
"Autoridad de Supervisión"una autoridad pública independiente establecida por un Estado miembro de conformidad con el artículo 51 del RGPD; y
"Medidas de seguridad técnicas y organizativas"se entenderán las medidas destinadas a proteger los Datos Personales contra la destrucción accidental o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el Tratamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de Tratamiento.
"Tercer País"un país en el que la Comisión Europea no haya decidido que el país, un territorio o uno o más sectores específicos dentro de ese país, garantizan un nivel de protección adecuado
"Acuerdo subyacente"se refiere al contrato de suscripción SaaS por el que Rods&Cones pone la Solución a disposición del Cliente.
  1. Detalles del tratamiento

Los datos personales tratados en virtud de la presente DPA se refieren a las siguientes categorías de interesados:

  • Empleados y contratistas del cliente
  • Profesionales de la salud
  • pacientes

Rods&Cones consta de un back-end en línea basado en la web para almacenar y gestionar los datos de los clientes (incluidos los datos personales), así como de los clientes del front-end que interactúan y que permiten la visualización de audio y vídeo (incluidos los datos personales identificables), así como la generación de análisis sobre el uso ("Servicios").

Naturaleza y finalidad del tratamiento: El Procesador recopila, procesa y utiliza los Datos Personales de los Sujetos de Datos en nombre del Controlador con el fin de permitir que los expertos remotos apoyen a los profesionales de la salud a distancia sin requerir la presencia in situ.

El auricular utilizado en el quirófano visualiza las siguientes imágenes relacionadas con la privacidad:

  • Personal de OR
  • Imágenes de un paciente no identificado
  • Pantallas en el quirófano

El audio y el vídeo sólo se transmiten a un asistente remoto certificado en modo 1 a 1. Con una excepción específica, la sesión puede transmitirse a un público más amplio (para casos de uso de formación y educación). Por defecto, los vídeos y las imágenes no se almacenan durante o después de la transmisión. Con una configuración excepcional, se puede permitir que los asistentes remotos graben una sesión en el disco duro de su ordenador personal.

Los asistentes a distancia aceptan instrucciones estrictas de comportamiento profesional como lo harían en el quirófano (https://rods-cones.com/re_terms/)

Rods&Cones almacena los siguientes datos personales de los asistentes remotos: Dirección de correo electrónico; Apellidos, nombre.

  1. Derechos y obligaciones del controlador

El Responsable del Tratamiento sigue siendo el responsable del Tratamiento de los Datos Personales según las instrucciones dadas al Encargado del Tratamiento sobre la base de la presente DPA y según otras instrucciones. El Controlador ha instruido y mientras dure el procesamiento de datos encargado, instruirá a Rods&Cones para que procese los Datos Personales únicamente en nombre del Controlador y de acuerdo con la Ley de Protección de Datos aplicable, este DPA y las instrucciones del Controlador. El Controlador tiene el derecho y la obligación de instruir a Rods&Cones en relación con el Tratamiento de los Datos Personales, tanto en general como en situaciones individuales. Las instrucciones también pueden referirse a la corrección, supresión, bloqueo de los Datos Personales. Las instrucciones se darán generalmente por escrito, a menos que la urgencia u otras circunstancias específicas requieran otra forma (por ejemplo, oral, electrónica). Las instrucciones que no sean por escrito serán confirmadas por el Responsable del Tratamiento por escrito sin demora. En la medida en que la ejecución de una instrucción suponga costes para Rods&Cones, ésta informará primero al Responsable del Tratamiento sobre dichos costes. Sólo después de la confirmación del responsable del tratamiento de asumir dichos costes para la ejecución de una instrucción, el responsable del tratamiento estará obligado a ejecutar dicha instrucción.

  1. Obligaciones del procesador

Rods&Cones deberá:

  1. procesar los Datos Personales únicamente según las instrucciones del Responsable del Tratamiento y en su nombre; dichas instrucciones se facilitan en el presente APD y, por lo demás, de forma documentada según se especifica en la cláusula 3 anterior. Esta obligación de seguir las instrucciones del responsable del tratamiento también se aplica a la transferencia de los datos personales a un tercer país.
  2. informar rápidamente al responsable del tratamiento si Rods&Cones no puede cumplir con las instrucciones del responsable del tratamiento por cualquier motivo;
  3. mantener los datos personales en estricta confidencialidad y
  4. y sólo tratará los Datos Personales para la prestación de los Servicios y para ningún otro fin, salvo autorización previa y por escrito del Cliente.
  5. asegurarse de que las personas autorizadas por Rods&Cones para tratar los datos personales en nombre del responsable del tratamiento se han comprometido a mantener la confidencialidad o están sometidas a una obligación adecuada de confidencialidad y que dichas personas que tienen acceso a los datos personales tratan dichos datos personales de conformidad con las instrucciones del responsable del tratamiento.
  6. aplicar las medidas de seguridad técnicas y organizativas que cumplan los requisitos del RGPD antes del tratamiento de los datos personales y asegurarse de ofrecer garantías suficientes al responsable del tratamiento sobre dichas medidas de seguridad técnicas y organizativas.
  7. ayudar al responsable del tratamiento mediante medidas técnicas y organizativas adecuadas, en la medida en que sea factible, para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos de los interesados relativos a la información, el acceso, la rectificación y la supresión, la limitación del tratamiento, la notificación, la portabilidad de los datos, la oposición y la toma de decisiones automatizada; en la medida en que dichas medidas técnicas y organizativas factibles requieran cambios o modificaciones de las medidas técnicas y organizativas, el responsable del tratamiento asesorará al responsable del tratamiento sobre los costes de aplicación de dichas medidas técnicas y organizativas adicionales o modificadas. Una vez que el responsable del tratamiento haya confirmado que asumirá dichos costes, el encargado del tratamiento aplicará dichas medidas técnicas y organizativas adicionales o modificadas para ayudar al responsable del tratamiento a responder a las solicitudes del interesado.
  8. poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la presente DPA y en el art. 28 del RGPD y permitir y contribuir a las auditorías, incluidas las inspecciones realizadas por el Responsable del Tratamiento o por otro auditor encargado por el Responsable del Tratamiento. El Responsable del Tratamiento es consciente de que cualquier auditoría presencial puede perturbar significativamente las operaciones comerciales de Rods&Cones y puede suponer un gasto elevado en términos de coste y tiempo. Por lo tanto, el Interventor sólo podrá llevar a cabo una auditoría in situ en persona si el Interventor reembolsa al Procesador los costes y gastos en los que haya incurrido debido a la perturbación de las operaciones comerciales.
  9. notificar al Interventor sin demora indebida:
    • sobre cualquier solicitud legalmente vinculante de divulgación de los Datos Personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial;
    • sobre las reclamaciones y solicitudes recibidas directamente de los interesados (por ejemplo, en relación con el acceso, la rectificación, la supresión, la limitación del tratamiento, la portabilidad de los datos, la oposición al tratamiento de los datos, la toma de decisiones automatizada) sin responder a esa solicitud, a menos que se le haya autorizado a hacerlo;
    • si el Encargado del Tratamiento está obligado, en virtud de la legislación de la UE o de los Estados miembros a la que está sujeto, a tratar los Datos Personales más allá de las instrucciones del Responsable del Tratamiento, antes de llevar a cabo dicho tratamiento más allá de las instrucciones, a menos que dicha legislación de la UE o de los Estados miembros prohíba dicha información por motivos importantes de interés público; dicha notificación deberá especificar el requisito legal en virtud de dicha legislación de la UE o de los Estados miembros;
    • si, en opinión del encargado del tratamiento, una instrucción infringe el RGPD; al proporcionar dicha notificación, el encargado del tratamiento no estará obligado a seguir la instrucción, a menos y hasta que el responsable del tratamiento la haya confirmado o modificado; y
    • después de que el Procesador tenga conocimiento de una Violación de Datos Personales en Rods&Cones. En caso de que se produzca dicha violación de los datos personales, el encargado del tratamiento, previa solicitud por escrito del responsable del tratamiento, asistirá al responsable del tratamiento en el cumplimiento de su obligación, en virtud de la legislación aplicable en materia de protección de datos, de informar a los interesados y a las autoridades de control, según proceda, y de documentar la violación de los datos personales.
  10. ayudar al Responsable del Tratamiento con cualquier Evaluación de Impacto sobre la Protección de Datos, tal y como exige el art. 35 del RGPD que se relaciona con los Servicios prestados por el Procesador al Controlador y los Datos Personales procesados por el Procesador en nombre del Controlador.
  11. atender todas las consultas del responsable del tratamiento relativas a su tratamiento de los datos personales objeto del mismo (por ejemplo, para que el responsable del tratamiento pueda responder a las reclamaciones o solicitudes de los interesados de manera oportuna) y acatar el consejo de la autoridad de control con respecto al tratamiento de los datos transferidos.
  12. que, en la medida en que se requiera y solicite al procesador que corrija, borre y/o bloquee los datos personales tratados en virtud de esta DPA, el procesador lo hará sin demora indebida. Si y en la medida en que los Datos Personales no puedan ser borrados debido a los requisitos legales de retención, el Procesador, en lugar de borrar los Datos Personales pertinentes, estará obligado a restringir el tratamiento y/o uso posterior de los Datos Personales, o a eliminar la identidad asociada de los Datos Personales (en lo sucesivo denominado "bloqueo"). Si el Encargado del Tratamiento está sujeto a dicha obligación de bloqueo, el Encargado del Tratamiento borrará los Datos Personales pertinentes antes o el último día del año natural durante el cual finaliza el plazo de conservación.
  1. Subproceso
  1. El Responsable del Tratamiento autoriza el uso de subprocesadores contratados por el Procesador para la prestación de los Servicios. El Responsable del Tratamiento aprueba el uso de los siguientes subprocesadores:
    NombreDirecciónFinalidad de uso
    Microsoft Ireland ltdOne Microsoft Place, South County Business Park, Leopardstown, Dublín 18, D18 P521, IrlandaAlojamiento de la aplicación
    Xirsys LLC25061 Avenue Stanford, Suite 10; Santa Clarita, California 91355, USGire el proveedor del servidor
    OpenVPN7901 Stoneridge Drive, Suite 240, Pleasanton, California 94588, USCliente VPN
  2. En caso de que el procesador tenga la intención de contratar subprocesadores nuevos o adicionales, el procesador informará al controlador de cualquier cambio previsto en relación con la adición o sustitución de cualquier subprocesador ("Aviso de subprocesamiento"). Si el responsable del tratamiento tiene una base razonable para oponerse al uso de cualquier subencargado nuevo o adicional, el responsable del tratamiento lo notificará rápidamente por escrito al encargado del tratamiento en un plazo de 14 días tras la recepción de la notificación del subencargado. En caso de que el responsable del tratamiento se oponga a un subprocesador nuevo o adicional, y dicha objeción no sea irrazonable, el responsable del tratamiento hará esfuerzos razonables para poner a disposición del responsable del tratamiento un cambio en los servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los servicios por parte del responsable del tratamiento para evitar el tratamiento de los datos personales por parte del subprocesador nuevo o adicional objetado, sin que ello suponga una carga irrazonable para el responsable del tratamiento. Si el responsable del tratamiento no puede realizar dicho cambio en un plazo razonable, que no superará los sesenta (60) días, el responsable del tratamiento podrá rescindir la parte del Acuerdo de colaboración en materia de protección de datos que se haya hecho efectiva, únicamente en lo que respecta a los servicios que el responsable del tratamiento no pueda prestar sin recurrir al nuevo subencargado o al subencargado adicional objetado, notificándoselo por escrito al responsable del tratamiento.
  3. El encargado del tratamiento impondrá por contrato a cualquier subencargado del tratamiento la misma obligación de protección de datos que se establece en el presente APD. El contrato entre el Encargado del Tratamiento y el Subencargado deberá ofrecer, en particular, garantías suficientes para aplicar las Medidas Técnicas y Organizativas de Seguridad, en la medida en que dichas Medidas Técnicas y Organizativas de Seguridad sean pertinentes para los servicios prestados por el Subencargado.
  4. El Procesador deberá elegir al Subprocesador con diligencia.
  5. En caso de que alguno de estos subprocesadores esté situado en un tercer país, el responsable del tratamiento, previa solicitud por escrito del responsable del tratamiento, celebrará con el subprocesador en cuestión, en nombre del responsable del tratamiento, un contrato modelo de la UE (del responsable al encargado del tratamiento), de conformidad con la Decisión 2010/87/UE. En este caso, el responsable del tratamiento da instrucciones y autoriza al encargado del tratamiento a dar instrucciones a los subencargados del tratamiento en nombre del responsable del tratamiento y a hacer uso de todos los derechos del responsable del tratamiento frente a los subencargados del tratamiento basados en el contrato modelo de la UE.
  6. El Encargado del Tratamiento seguirá siendo responsable ante el Responsable del Tratamiento del cumplimiento de las obligaciones del Subencargado, en caso de que éste no cumpla con sus obligaciones. No obstante, el Encargado del Tratamiento no será responsable de los daños y reclamaciones que se deriven de las instrucciones del Responsable del Tratamiento a los Subencargados.
  1. Limitación de la responsabilidad

Cualquier responsabilidad que se derive de este APD o esté relacionada con el mismo se regirá exclusivamente por las disposiciones de responsabilidad establecidas en este APD o aplicables de otro modo, y no en otro lugar. Por lo tanto, y a los efectos de calcular los límites de responsabilidad y/o determinar la aplicación de otras limitaciones de responsabilidad, cualquier responsabilidad que se produzca en virtud de este APD se considerará que se produce en virtud de las disposiciones de este APD.

  1. Duración y terminación
  1. La duración del presente APD es idéntica a la del Acuerdo subyacente. Salvo que se acuerde lo contrario en el presente, los derechos y requisitos de rescisión serán los mismos que los establecidos en el Acuerdo Subyacente.
  2. El encargado del tratamiento, a elección del responsable del tratamiento, eliminará o devolverá todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios, y eliminará cualquier copia existente, a menos que la legislación de la UE o de los Estados miembros exija que el encargado del tratamiento conserve dichos datos personales.
  1. Varios
  1. En caso de incoherencias entre las disposiciones del presente APD y cualquier otro acuerdo existente entre las Partes, prevalecerán las disposiciones del presente APD en lo que respecta a las obligaciones de las Partes en materia de protección de datos. En caso de duda sobre si las cláusulas de esos otros acuerdos están relacionadas con las obligaciones de las Partes en materia de protección de datos, prevalecerá el presente APD.
  2. En caso de que alguna de las disposiciones del presente APD sea inválida o inaplicable, el resto del APD seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las Partes en la medida de lo posible, o -si esto no fuera posible- (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en ella. Lo anterior también se aplicará si el presente APD contiene alguna omisión.
  3. Sin perjuicio de la aplicabilidad del RGPD a este APD y al tratamiento en virtud del mismo, este APD se regirá por la misma ley de Bélgica.
  1. Medidas de seguridad

Rods&Cones mantendrá, como mínimo, medidas y procedimientos de seguridad técnica y organizativa para proteger la seguridad de los datos personales creados, recogidos, recibidos u obtenidos de otra manera.

Las medidas de seguridad técnicas y organizativas pueden considerarse como el estado de la técnica. Rods&Cones evaluará las medidas de seguridad técnicas y organizativas a lo largo del tiempo, teniendo en cuenta los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Rods&Cones deberá garantizar:

  1. que ha configurado adecuadamente los derechos de acceso de sus empleados, incluyendo un proceso bien definido de altas y bajas para garantizar que los derechos de acceso se gestionan adecuadamente;
  2. que tiene controles adecuados para asegurarse de que se requieren contraseñas alfanuméricas complejas para acceder a los Datos Personales y que se imparte formación en relación con la necesidad de mantener dichas contraseñas seguras;
  3. cuenta con procedimientos para identificar el uso indebido de los datos personales, incluida la supervisión del acceso indebido a los datos personales;
  4. cuenta con procedimientos para identificar el uso indebido de los datos personales, incluida la supervisión del acceso indebido a los datos personales;
  5. se establezcan y utilicen procesos de autenticación adecuados y eficaces para proteger los datos personales;
  6. los Datos Personales almacenados en los ordenadores portátiles u otros medios portátiles están encriptados;
  7. los Datos Personales no son visibles a través de Internet. En el caso de que se permita el acceso a los Datos Personales a través de la web, dicho acceso será únicamente con respecto a los datos pertinentes.
  8. todos los datos personales que se conserven en formato impreso se guardarán en armarios cerrados con llave dentro de oficinas cerradas con llave, a los que sólo podrán acceder las personas autorizadas.
  9. que mantiene un registro de activos exacto y actualizado, incluidos todos los soportes portátiles utilizados para el Tratamiento;
  10. que los empleados no puedan acceder a los Datos Personales desde casa o a través de su propio dispositivo electrónico si no es a través de una red electrónica segura y que los Datos Personales no puedan ser almacenados en dichos dispositivos;
  11. que se establezcan medidas de seguridad física adecuadas y proporcionales a los daños que pudieran derivarse de la divulgación ilícita de los Datos Personales. Dichas medidas de seguridad física serán las identificadas en la política de seguridad de datos de Rods&Cones;
  12. que Rods&Cones establece y mantiene políticas adecuadas de cumplimiento de la seguridad de los datos y audita su uso de los datos personales en cumplimiento de sus políticas de seguridad de los datos de forma regular y, en cualquier caso, anualmente; y
  13. que designe por escrito a una persona que se responsabilice y rinda cuentas del cumplimiento de la DPA.

Hable con un comercial