ENTRE
el usuario NEXUS,
en lo sucesivo denominado "el Responsable del Tratamiento",
por una parte
Y
la sociedad VISIONIX - Luneau Technology Operations, sociedad por acciones simplificada inscrita en el Registro de Évreux con el número SIREN 08615020800048, cuyo domicilio social se encuentra en 2 rue Roger Bonnet, 27340, Pont de l'Arche, Francia,
en lo sucesivo denominada "el Encargado del Tratamiento",
por otra parte,
en lo sucesivo denominadas conjuntamente las "Partes" e individualmente la "Parte".
ESTIPULACIONES
ARTÍCULO 1: DEFINICIONES
- Contrato de Encargado del Tratamiento: el presente contrato en virtud del cual se establecen las condiciones y obligaciones para el tratamiento de datos personales por parte del Encargado del Tratamiento y por cuenta del Responsable del Tratamiento.
- Contrato Principal: el contrato en virtud del cual el Encargado del Tratamiento pone a disposición del Responsable del Tratamiento las Soluciones Visionix y la plataforma NEXUS.
- Datos personales: cualquier información relativa a una persona física identificada o identificable directa o indirectamente mediante un elemento identificador, como nombre, número de identificación, datos de localización, identificador en línea, o uno o varios elementos específicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.
- Datos sensibles: información sobre el origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos utilizados para identificar a una persona física de manera única, datos relacionados con la salud, la vida sexual o la orientación sexual. Estos datos están sujetos a una protección reforzada basada en el principio de prohibición de recogida o tratamiento. Sin embargo, es posible eludir esta prohibición mediante una serie de excepciones establecidas en el artículo 9.2 del RGPD (incluido el consentimiento).
- Delegado de protección de datos o DPO: el encargado de manejar y controlar el cumplimiento de la normativa vigente en materia de protección de datos dentro del organismo en el que está asignado.
- Encargado del Tratamiento: aquel que realiza operaciones sobre los datos personales por cuenta del Responsable del Tratamiento y según las instrucciones de este.
- Producto sanitario: todo instrumento, aparato, equipo, programa informático, implante, reactivo, material u otro artículo destinado por el fabricante a ser utilizado, solo o en combinación, en seres humanos para uno o varios de los fines médicos contemplados en el artículo 2 del REGLAMENTO (UE) 2017/745 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 5 de abril de 2017 relativo a los productos sanitarios.
- Responsable del Tratamiento: aquel que determina los fines y los medios del tratamiento. Define la finalidad de la operación realizada sobre los datos personales y la forma en que se llevará a cabo el tratamiento de los datos personales. Determina para qué se utilizarán los datos, qué herramientas se utilizarán para tratarlos, en qué momento actuar sobre los datos, etc.
- Soluciones Visionix: servicios y tecnologías especializadas diseñadas por Visionix para profesionales de la salud visual, destinadas a mejorar el diagnóstico, tratamiento y atención de problemas oculares y de la visión.
- Tratamiento (de datos personales): operación o conjunto de operaciones organizadas que se realizan sobre los datos personales (recogida, consulta, estructuración, conservación, modificación, transmisión…).
- Violación de datos: incidente de seguridad que provoque de forma accidental o ilícita la destrucción, pérdida, alteración, divulgación no autorizada de datos personales transmitidos, almacenados o tratados de otro modo, o el acceso no autorizado a los mismos.
ARTÍCULO 2: OBJETO
En el marco de la puesta a disposición de las Soluciones Visionix y de la plataforma NEXUS, tal y como se suscribe en el Contrato Principal, a los profesionales de la salud visual, el Encargado del Tratamiento está obligado a tratar datos personales por cuenta del Responsable del Tratamiento y según las instrucciones de este.
El objeto de las presentes cláusulas es definir las condiciones en las que el Encargado del Tratamiento se compromete a realizar las operaciones de tratamiento de datos personales en el marco del Contrato Principal por cuenta del Responsable del Tratamiento y siguiendo las instrucciones de este.
En el marco de su relación contractual, las Partes se comprometen a cumplir la normativa vigente aplicable al tratamiento de datos personales y, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016: Reglamento General de Protección de Datos (en adelante, "RGPD") y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”).
ARTÍCULO 3: INFORMACIÓN RELATIVA AL TRATAMIENTO OBJETO DE LA SUBCONTRATACIÓN
El Encargado del Tratamiento presta los servicios y soluciones definidos en el Contrato Principal.
3.1 Finalidades del tratamiento:
El Encargado del Tratamiento está autorizado, durante toda la duración del Contrato Principal y el uso de las Soluciones Visionix por parte del Responsable del Tratamiento, a tratar, por cuenta del Responsable del Tratamiento, los datos personales necesarios para la siguiente finalidad principal:
- Puesta a disposición de la plataforma Nexus para los profesionales de la salud visual.
Más concretamente, los datos personales son necesarios para las siguientes subfinalidades:
- Subfinalidades generales:
• Alojamiento de datos de telesalud.
- Para los Operadores/Ópticos:
• Recoger la información necesaria para medir la refracción.
• Generar el informe de síntesis que permita elaborar los equipos de corrección visual.
• Establecer contacto con el médico encargado de analizar y validar las medidas tomadas por los productos sanitarios (validar las correcciones visuales), si es necesario.
- Para los profesionales de la salud visual:
• Recoger y visualizar la información necesaria para medir la refracción y detectar enfermedades oculares.
• Generar el informe de síntesis que permita al profesional de la salud visual estructurar sus conocimientos expertos y adaptar su atención.
• Recoger la información suplementaria necesaria para la prescripción de correcciones visuales por parte del profesional de la salud visual.
3.2 Categorías de datos tratados por el Encargado del Tratamiento:
- Datos de identificación: información personal de los pacientes introducida por el operador en las Soluciones Visionix, a saber: nombre, apellidos, fecha de nacimiento, sexo, código interno.
- Datos de contacto: país, ciudad.
- Vida profesional: información relativa a los profesionales de la salud visual que puedan intervenir en el uso de la solución.
- Datos necesarios para remunerar a los profesionales de la salud visual.
- Datos sensibles: recogidos a través de las Soluciones Visionix: etnia (información importante en el campo de la salud visual), datos sanitarios (medidas utilizadas para definir la fórmula de corrección de las lentes, medidas posteriores y anteriores del ojo que permiten al profesional de la salud visual detectar enfermedades). Historial médico y otra información relacionada con la salud, si los pacientes deciden proporcionarla.
- Intercambios entre usuarios de la plataforma Nexus.
3.3 Categorías de personas afectadas por el tratamiento de datos:
- Pacientes = usuarios finales
- Profesionales de la salud visual implicados en el uso de las Soluciones Visionix
- Operadores/Ópticos
3.4 Operaciones de tratamiento efectuadas por el Encargado del Tratamiento:
- Recogida.
- Registro (almacenamiento).
- Transmisión.
- Alojamiento web.
- Seudonimización.
- Utilización (generación de informes).
- Destrucción.
3.5 Datos de contacto del DPO Visionix:
Nombre y apellido: Yossi Constantinis
Email: dpo@visionix.com
Dirección: VISIONIX - Luneau Technology Operations, a la atención del DPO, 2 rue Roger Bonnet, 27340, Pont de l'Arche, Francia
3.6 Duración del tratamiento:
El tratamiento de datos llevado a cabo por el Encargado del Tratamiento tendrá la misma duración que la prestación de servicios acordada en el Contrato Principal, salvo plazo superior indicado.
ARTÍCULO 4: INFORMACIÓN RELATIVA AL TRATAMIENTO REALIZADO PARA FINES PROPIOS DE LA EMPRESA VISIONIX
El Encargado del Tratamiento está autorizado, durante toda la duración del Contrato Principal y de la utilización de las Soluciones Visionix por parte del Responsable del Tratamiento, a tratar los datos para sus propios fines y por su cuenta, para el/los siguiente(s) fin(es):
- Mejora de sus servicios (I+D), sobre la base de datos que no permitan la identificación directa por parte del Responsable del Tratamiento.
- Elaboración de informes de análisis/estudios estadísticos anónimos (sobre la base de datos seudonimizados o anonimizados), en particular relativos al control de sus productos sanitarios (para cumplir sus obligaciones legales).
ARTÍCULO 5: OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO PARA CON EL RESPONSABLE DEL TRATAMIENTO
El Encargado del Tratamiento se compromete a:
4.1 Finalidad:
Tratar los datos personales únicamente para el/los fin(es) contemplado(s) en los artículos 2 y 3 del presente acuerdo de subcontratación.
4.2 Instrucciones del Responsable del Tratamiento:
Tratar los datos personales exclusivamente por cuenta del Responsable del Tratamiento y conforme a las instrucciones documentadas de este último, en particular en lo que respecta a la seguridad de los sistemas de información. Si el Encargado del Tratamiento considera que una instrucción infringe el RGPD o cualquier otra disposición del Derecho de la Unión o de los Estados miembros relativa a la protección de datos, informará inmediatamente al Responsable del Tratamiento. Si el Encargado del Tratamiento debe transferir datos a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o del Estado miembro al que está sometido, deberá informar al Responsable del Tratamiento de esta exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. Asimismo, en el marco del Contrato Principal, el tratamiento de datos confiado a Subcontratistas (según definidos en la cláusula 5.5) puede dar lugar a transferencias fuera de la UE y estará sujeto, cuando proceda, a una decisión de adecuación o a la aplicación de garantías apropiadas (en particular, cláusulas contractuales tipo), conforme a los artículos 45 y siguientes del RGPD.
4.3 Confidencialidad:
Garantizar la confidencialidad de los datos personales tratados en el marco del Contrato Principal.
En este sentido, el Encargado del Tratamiento debe abstenerse de:
- Divulgar, en cualquier forma, la totalidad o parte de los datos personales tratados;
- Copiar o almacenar, en cualquier forma y para cualquier fin, la totalidad o parte de la información o datos personales contenidos en los soportes o documentos que le hayan sido confiados o que haya recogido durante la ejecución del Contrato Principal, salvo en los casos aquí previstos.
- Garantizar que las personas autorizadas a tratar los datos personales en virtud del Contrato de Encargado del Tratamiento:
• Se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
• Reciban la formación necesaria en materia de protección de datos personales.
4.4 Protección de datos desde el diseño y por defecto:
Tener en cuenta, respecto a sus herramientas, productos, aplicaciones o servicios, los principios de protección de datos desde el diseño y de protección de datos por defecto.
4.5 Subcontratación:
El Encargado del Tratamiento está autorizado a recurrir a las entidades enumeradas en el Anexo (en adelante, el/los "Subcontratista/s") para llevar a cabo las actividades de tratamiento aquí contempladas.
En caso de contratación de Subcontratistas , el Encargado del Tratamiento deberá obtener la autorización específica previa y por escrito del Responsable del Tratamiento.
El Subcontratista debe cumplir las obligaciones del presente Contrato de Encargado del Tratamiento por cuenta del Responsable del Tratamiento y de acuerdo con las instrucciones de este. Es responsabilidad del Encargado del Tratamiento asegurarse de que el Subcontratista presente las mismas garantías suficientes en cuanto a la aplicación de las medidas técnicas y organizativas adecuadas para que el tratamiento cumpla los requisitos del RGPD. Si el Subcontratista no cumple sus obligaciones en materia de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento de la ejecución de las obligaciones del Subcontratista.
5.1 Derecho de información de los interesados:
El Responsable del Tratamiento debe informar a los interesados sobre las operaciones de tratamiento que realiza por sí mismo y por su cuenta. Corresponde al Encargado del Tratamiento informar a los interesados sobre las operaciones de tratamiento que realiza por cuenta propia y las que realiza por cuenta del Responsable del Tratamiento en el momento de la recogida de los datos, mediante un formulario de información específico.
5.2 Ejercicio de los derechos de los interesados:
En la medida de lo posible, el Encargado del Tratamiento deberá ayudar al Responsable del Tratamiento a cumplir con su obligación de atender las solicitudes de ejercicio de los derechos de los interesados: derecho de acceso, rectificación, supresión y oposición, derecho a la limitación del tratamiento y a la portabilidad.
Cuando los interesados presenten solicitudes al Encargado del Tratamiento para ejercer sus derechos, este deberá responder, en nombre y por cuenta del Responsable del Tratamiento y dentro de los plazos establecidos por el RGPD, a las solicitudes de los interesados en la medida en que se refieran a datos incluidos en el objeto del presente acuerdo de subcontratación.
5.3 Notificación de violaciones de datos personales:
El Encargado del Tratamiento notificará al Responsable del Tratamiento cualquier violación de datos personales tan pronto como sea posible tras tener conocimiento de la misma.
Con el acuerdo del Responsable del Tratamiento, el Encargado del Tratamiento notificará a la autoridad de control competente, conforme al artículo 55 del RGPD, en nombre y por cuenta del Responsable del Tratamiento, las violaciones de datos personales cuanto antes y, si es posible, dentro de las 72 horas siguientes a tener conocimiento de ellas, a menos que la violación en cuestión no sea susceptible de generar un riesgo para los derechos y libertades de las personas físicas.
En caso de riesgo elevado para los derechos y libertades de las personas físicas, con el acuerdo del Responsable del Tratamiento, el Encargado del Tratamiento comunicará, en nombre y por cuenta del Responsable del Tratamiento, la violación de los datos personales al interesado lo antes posible.
La comunicación al interesado describirá, en términos claros y sencillos, la naturaleza de la violación de los datos personales y contendrá como mínimo:
- una descripción de la naturaleza de la violación de datos personales que incluya, si es posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados;
- el nombre y los datos de contacto del Delegado de Protección de Datos u otra persona de contacto de la que pueda obtenerse más información;
- una descripción de las consecuencias probables de la violación de los datos personales;
- una descripción de las medidas adoptadas o que se propone adoptar el Responsable del Tratamiento para remediar la violación de los datos personales, incluidas, si procede, medidas para mitigar cualquier consecuencia negativa.
5.4 Evaluaciones de impacto y consultas previas:
El Encargado del Tratamiento ayudará al Responsable del Tratamiento a llevar a cabo evaluaciones de impacto sobre la protección de datos o a realizar consultas previas a la autoridad de control.
5.5 Medidas de seguridad:
El Encargado del Tratamiento se compromete a aplicar medidas de seguridad técnicas y organizativas apropiadas teniendo en cuenta el estado de la técnica, los costes, la naturaleza, el alcance, el contexto y los fines del tratamiento, con el fin de garantizar un nivel de seguridad adecuado a los riesgos, y en particular:
- Seudonimización y cifrado de los datos en función de su criticidad
- Medios para garantizar:
• La confidencialidad de la información impidiendo su divulgación a terceros no autorizados.
• La integridad de la información, impidiendo su modificación o destrucción fuera del marco del tratamiento, ya sea de forma intencionada o accidental.
• La disponibilidad de la información y de los sistemas de información utilizados para el tratamiento, y la resistencia constante de los sistemas y servicios de tratamiento.
• La trazabilidad de las operaciones realizadas sobre la información.
- Los medios para restablecer la disponibilidad y el acceso a los datos personales en un plazo adecuado en caso de incidente físico o técnico.
- Un procedimiento destinado a probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En este sentido, el Encargado del Tratamiento ha implementado las siguientes medidas:
• Cifrado de la base de datos, los flujos y los equipos.
• Seudonimización de los datos para que no puedan ser identificados por el Encargado del Tratamiento.
• Compartimentación.
• Control de acceso lógico, en particular una política de gestión de las autorizaciones, una cuenta personal con autenticación fuerte, verificación de la solidez de las contraseñas y almacenamiento seguro de las contraseñas cifradas.
• Establecimiento de registros para rastrear el acceso y gestionar los incidentes.
• Archivo seguro.
• Compromiso de confidencialidad por parte de su personal y de los subcontratistas.
• Servidores seguros (certificación ISO 27001 - HDS del proveedor de alojamiento).
• Alojamiento solo en servidores ubicados en Europa.
• Copias de seguridad diarias y servidores redundantes.
• Medidas organizativas como:
o Integración de la protección de la confidencialidad en los proyectos.
o Gestión del personal.
o Gestión de terceros.
o Nombramiento de un DPO.
o Establecer procedimientos internos para las violaciones de datos y el ejercicio de los derechos.
5.6 Copia y destino de los datos personales al final del Contrato Principal
El Encargado del Tratamiento se compromete, al término del Contrato Principal o en caso de finalización anticipada del mismo, a no conservar ninguna copia de los datos personales alojados, salvo que la normativa aplicable al Encargado del Tratamiento exija lo contrario, en particular como fabricante de productos sanitarios.
5.7 Registro de categorías de actividades de tratamiento
El Encargado del Tratamiento declara que mantiene un registro escrito de todas las categorías de actividades de tratamiento llevadas a cabo por cuenta del Responsable del Tratamiento, que incluye:
- El nombre y los datos de contacto del Responsable del Tratamiento por cuenta del cual actúa, de los Subcontratistas y, si procede, del Delegado de Protección de Datos;
- Las categorías de tratamiento efectuadas por cuenta del Responsable del Tratamiento;
- Cuando proceda, las transferencias de datos personales a un tercer país o a una organización internacional, con la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias contempladas en el artículo 49, apartado 1, párrafo segundo, del Reglamento Europeo de Protección de Datos, los documentos que acrediten la existencia de garantías adecuadas;
- En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas que incluya entre otras cosas, según las necesidades:
• La seudonimización y el cifrado de los datos personales.
• Medios para garantizar la confidencialidad, integridad, disponibilidad y resistencia constantes de los sistemas y servicios de tratamiento.
• Medios para restablecer la disponibilidad y el acceso a los datos personales en un plazo adecuado en caso de incidente físico o técnico.
• Un procedimiento destinado a probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
5.8 Documentación y auditoría
El Encargado del Tratamiento facilitará al Responsable del Tratamiento la documentación o certificación necesaria para demostrar el cumplimiento de sus obligaciones.
El Encargado del Tratamiento permitirá la realización de auditorías, incluidas las comprobaciones prácticas de las garantías contractuales por parte del Responsable del Tratamiento, dentro de los límites de cualquier elemento protegido por el secreto comercial, el secreto profesional o los derechos de propiedad intelectual.
Cabe precisar que cualquier auditoría de seguridad técnica u organizativa del Encargado del Tratamiento será realizada a expensas del Responsable del Tratamiento, por un auditor competente e independiente, designado de mutuo acuerdo con el Encargado del Tratamiento y en presencia de este último.
ARTÍCULO 6: OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO PARA CON EL ENCARGADO DEL TRATAMIENTO
El Responsable del Tratamiento se compromete a:
- Proporcionar al Encargado del Tratamiento todos los datos personales y/o la información necesaria para el adecuado tratamiento de los mismos para la prestación de los servicios especificados en el Contrato Principal, garantizando la licitud del tratamiento de los datos.
- Documentar por escrito cualquier instrucción relativa al tratamiento de datos por parte del Encargado del Tratamiento.
- Garantizar, previamente y durante todo el tratamiento, que el Encargado del Tratamiento cumpla las obligaciones establecidas en el RGPD.
En el marco de la supervisión del tratamiento, el Responsable del Tratamiento podrá realizar auditorías e inspecciones del Encargado del Tratamiento.
El Responsable del Tratamiento podrá enviar, a petición de los interesados, una copia de estas cláusulas y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de subcontratación posterior celebrado de conformidad con estas cláusulas, a menos que estas cláusulas o el contrato contengan información comercial, en cuyo caso podrá retirar esta información.