Este Anexo de Tratamiento de Datos ("DPA"), que incluye las cláusulas de Acuerdo de Socio Comercial ("BAA"), forma parte del Contrato Marco de Servicios y Suscripción entre el Cliente ("Responsable del Tratamiento") y Continuous Labs SpA, operando como VeriFlow.me ("Encargado del Tratamiento").
1. Objeto, Duración, Naturaleza y Finalidad del Tratamiento
- Objeto: El tratamiento de Datos Personales para la prestación de los servicios de verificación de credenciales por parte del Encargado del Tratamiento al Responsable del Tratamiento.
- Duración: El tratamiento se realizará durante la vigencia del Contrato.
- Naturaleza y Finalidad: La recopilación, almacenamiento, consulta y comunicación de Datos Personales con el único fin de verificar las credenciales profesionales según las instrucciones del Responsable del Tratamiento.
- Tipos de Datos Personales y Categorías de Interesados: Los tipos de Datos Personales y las categorías de Interesados son los descritos en la Política de Privacidad del Encargado del Tratamiento.
2. Roles y Responsabilidades
Las partes acuerdan que, a los efectos de las Leyes de Protección de Datos aplicables, el Cliente es el Responsable del Tratamiento (o "Empresa" / "Entidad Cubierta") y VeriFlow.me es el Encargado del Tratamiento (o "Proveedor de Servicios" / "Socio Comercial"). Esta definición es la base sobre la que se construyen todas las obligaciones subsiguientes.
3. Obligaciones del Encargado del Tratamiento (VeriFlow.me)
3.1. Tratamiento bajo Instrucciones Documentadas: El Encargado del Tratamiento tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Responsable del Tratamiento, a menos que esté obligado a hacerlo por la ley de la Unión o de un Estado miembro.
3.2. Confidencialidad: El Encargado del Tratamiento garantizará que todo el personal autorizado para tratar Datos Personales se haya comprometido a mantener la confidencialidad.
3.3. Seguridad del Tratamiento: El Encargado del Tratamiento implementará y mantendrá medidas técnicas y organizativas apropiadas (TOMs) para garantizar un nivel de seguridad adecuado al riesgo, protegiendo los datos contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Estas medidas se detallarán en un Anexo a este DPA e incluirán, como mínimo, cifrado de datos en tránsito y en reposo, controles de acceso estrictos y planes de respuesta a incidentes.
3.4. Subencargados del Tratamiento: El Encargado del Tratamiento no subcontratará a ningún otro encargado (un "Subencargado") sin la autorización previa por escrito, general o específica, del Responsable del Tratamiento. En caso de autorización general, el Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier cambio previsto, dándole la oportunidad de oponerse. El Encargado del Tratamiento impondrá al Subencargado las mismas obligaciones de protección de datos que las establecidas en este DPA.
3.5. Asistencia en los Derechos de los Interesados: El Encargado del Tratamiento asistirá al Responsable del Tratamiento, mediante medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados.
3.6. Notificación de Violaciones de la Seguridad de los Datos Personales: El Encargado del Tratamiento notificará al Responsable del Tratamiento sin dilación indebida cualquier violación de la seguridad de los Datos Personales de la que tenga conocimiento.
3.7. Evaluaciones de Impacto Relativas a la Protección de Datos: El Encargado del Tratamiento asistirá al Responsable del Tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD), cuando sea necesario.
4. Obligaciones del Responsable del Tratamiento (El Cliente)
El Responsable del Tratamiento es el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que adquirió dichos Datos Personales. El Responsable del Tratamiento garantiza que sus instrucciones de tratamiento cumplen con todas las Leyes de Protección de Datos aplicables.
5. Derechos de Auditoría
El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA y permitirá y contribuirá a la realización de auditorías. Dichas auditorías se llevarán a cabo normalmente mediante la revisión por parte del Responsable del Tratamiento de los informes de auditoría de terceros del Encargado del Tratamiento (p. ej., SOC 2, ISO 27001), con una frecuencia no superior a una vez al año.
6. Disposiciones Específicas para el Cumplimiento de HIPAA (Cláusulas de Socio Comercial)
Esta sección se aplica únicamente si el Cliente es una "Entidad Cubierta" y los Datos del Cliente incluyen "Información de Salud Protegida" (PHI), según se define en la HIPAA.
6.1. Definiciones Específicas de HIPAA: Los términos utilizados en esta sección tendrán el significado que se les atribuye en la HIPAA y en la Ley HITECH.
6.2. Usos y Divulgaciones Permitidos de PHI: El Encargado del Tratamiento (como "Socio Comercial") no usará ni divulgará PHI de ninguna otra manera que no sea la permitida o requerida por el Contrato o por la Ley.
6.3. Salvaguardias para la PHI: El Encargado del Tratamiento implementará salvaguardias administrativas, físicas y técnicas que protejan de manera razonable y apropiada la confidencialidad, integridad y disponibilidad de la PHI electrónica que crea, recibe, mantiene o transmite en nombre del Responsable del Tratamiento (la "Entidad Cubierta").
6.4. Notificación de Incumplimiento: El Encargado del Tratamiento notificará al Responsable del Tratamiento cualquier Incumplimiento de PHI no segura sin dilación indebida, y en ningún caso más tarde de 60 días naturales después del descubrimiento del Incumplimiento, de conformidad con los requisitos de la Regla de Notificación de Incumplimientos de la HIPAA.
6.5. Cláusula de Supremacía para Obligaciones de Protección de Datos: La integración de un BAA en un DPA centrado en el RGPD requiere una gestión cuidadosa de las posibles superposiciones o conflictos normativos. Para abordar esto, se establece la siguiente regla: En caso de conflicto entre las disposiciones de este Anexo relativas al RGPD y las relativas a la HIPAA, prevalecerá la disposición que imponga el estándar de protección de datos más estricto.