ACUERDO DE ENCARGO DE TRATAMIENTO DE DATOS (DPA)

PRIMERA. - OBJETO

El objeto del presente Anexo es establecer las condiciones y particularidades que regirán el tratamiento de datos de carácter personal por parte de FCT (el «Encargado del Tratamiento») necesario para prestar los servicios al Cliente (el «Responsable del Tratamiento»), tratamiento que, sujeto a los términos y condiciones, y dentro de los límites establecidos en el presente anexo, el Encargado del Tratamiento se obliga a cumplir con la diligencia debida.

El presente anexo da lugar a un acceso a los datos por cuenta de tercero y no a una cesión o comunicación de datos personales de modo que el Responsable del Tratamiento sigue teniendo bajo su control los usos y los fines del tratamiento.

SEGUNDA. - IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del presente anexo, el Responsable del Tratamiento pone a disposición del Encargado del Tratamiento la información que se describe a continuación:

Tipos de datos personales tratados:

  • Datos de identificación del Usuario: nombre, apellidos, correo electrónico, nombre de la clínica/institución.
  • Datos de contacto: dirección de correo electrónico utilizada para registro y comunicaciones.
  • Datos de imágenes médicas veterinarias: archivos DICOM (Digital Imaging and Communications in Medicine), imágenes médicas de diagnóstico (TAC, RM y otras modalidades), metadatos asociados a las imágenes (fecha, hora, datos del animal, etc.).
  • Datos de identificación de animales: especie, raza, edad, sexo, nombre del animal, historial clínico asociado a las imágenes, nombre del propietario.
  • Datos de informes diagnósticos: informes automatizados generados por sistemas de IA, análisis diagnósticos, resultados de procesamiento de imágenes.
  • Datos de auditoría y seguridad: registros de accesos, operaciones realizadas, direcciones IP, fechas y horas de acceso a la plataforma.
  • Consentimientos y aceptaciones legales: registro de aceptación de Términos de Servicio, Política de Privacidad y presente DPA (incluyendo fecha, hora y versión aceptada).

Categorías de interesados:

  • Clientes directos: Gerentes de clínicas veterinarias, veterinarios, profesionales sanitarios veterinarios que utilizan los Servicios de FCT.
  • Propietarios de animales: Personas cuyos datos pueden aparecer en los archivos DICOM o metadatos asociados a las imágenes diagnósticas.
  • Responsables de datos dentro de las organizaciones del Cliente: Empleados autorizados de la clínica o institución que acceden a la plataforma para subir, visualizar o gestionar casos.

TERCERA.- OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO:

  • El Encargado del Tratamiento se compromete a tratar los datos personales con sujeción y siguiendo en todo momento las instrucciones documentadas del Responsable del Tratamiento, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de Unión o de los Estados miembros que se aplique al Encargado del Tratamiento; en tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de esa exigencia legal previa al tratamiento. A este respecto, si el Encargado del Tratamiento considera que alguna de las instrucciones remitidas al efecto por el Responsable del Tratamiento infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el Encargado del Tratamiento se compromete a informar inmediatamente al Responsable del Tratamiento sobre dicha circunstancia a fin de que las partes puedan analizar la adecuación o no del referido tratamiento.
  • El Encargado del Tratamiento se obliga a utilizar los datos personales a los que tenga acceso única y exclusivamente para cumplir con los fines para los que son tratados; en ningún caso podrá el Encargado del Tratamiento utilizar los datos para fines propios.
  • El Encargado del Tratamiento se compromete a asegurarse el conocimiento y adecuado cumplimiento de las obligaciones que le corresponden en virtud del presente anexo y de la vigente normativa en materia de protección de datos por parte de sus empleados, colaboradores, tanto externos como internos, y subcontratistas.
  • El Encargado del Tratamiento se compromete a adoptar cuantas medidas de seguridad sean necesarias para asegurar la confidencialidad, secreto e integridad de los datos personales a los que tenga acceso, así como a adoptar en el futuro cuantas medidas de seguridad sean exigidas por las leyes y reglamentos destinadas a tal fin, de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas entre las que se incluya:
    • La seudonimización y el cifrado de datos personales.
    • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  • El Responsable del Tratamiento permite que el Encargado del Tratamiento establezca acuerdos con terceros (en adelante, el «Subcontratista» o los «Subcontratistas»). El Encargado del Tratamiento se compromete a incluir en el contrato de prestación de servicios que suscriba con los Subcontratistas una cláusula o acuerdo de tratamiento de datos personales por medio del que cada subcontratista se comprometa a cumplir las mismas obligaciones que ha asumido el Encargado del Tratamiento en virtud del presente anexo.
  • A este respecto, cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del Tratamiento, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente anexo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del RGPD. Si ese otro encargado incumple sus obligaciones de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
  • El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente anexo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento.
  • El Encargado del Tratamiento se compromete a asistir al Responsable del Tratamiento en la respuesta al ejercicio de los derechos de (i) acceso, rectificación, supresión y oposición; (ii) limitación del tratamiento; (iii) portabilidad de datos; (iv) no ser objeto de decisiones individualizadas automatizadas -incluida la elaboración de perfiles- (en adelante, los «Derechos») por parte de los interesados. A este respecto, cuando las personas afectadas ejerzan los Derechos ante el Encargado del Tratamiento, éste debe comunicarlo al Responsable del Tratamiento a través de los medios previstos, de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud del interesado, junto con, en su caso, la información que pueda ser relevante para resolver la solicitud por parte del Responsable del Tratamiento.
  • El Encargado del Tratamiento se compromete a dar apoyo al Responsable del Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos; y en la realización de las consultas previas a la autoridad de control competente, cuando proceda.
  • El Encargado del Tratamiento se obliga a comunicar al Responsable del Tratamiento la identidad y datos de contacto de su Delegado de Protección de Datos, en su caso.
  • El Encargado del Tratamiento proporcionará la formación necesaria en materia de protección de datos a las personas autorizadas para tratar datos personales por cuenta del Responsable del Tratamiento (personal, colaboradores).

CUARTA. - OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

Corresponde al Responsable del Tratamiento:

  • Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado del Tratamiento.
  • Supervisar el tratamiento llevado a cabo por el Encargado del Tratamiento, incluida la realización de inspecciones y auditorías.

QUINTA. - CONFIDENCIALIDAD

  • El Encargado del Tratamiento se compromete a guardar la máxima reserva y secreto sobre la información clasificada como confidencial. Se considerará «Información Confidencial» cualquier dato al que el Encargado del Tratamiento acceda en virtud de la relación contractual, en especial la información y datos propios del Responsable del Tratamiento a los que haya accedido durante la ejecución del mismo. El Encargado del Tratamiento se compromete a no divulgar dicha Información Confidencial, así como a no publicarla ni de cualquier otro modo, bien directamente, bien a través de terceras personas o empresas, ponerla a disposición de terceros sin el previo consentimiento por escrito del Responsable del Tratamiento. El Encargado del Tratamiento no obstante podrá revelar la Información Confidencial siempre que venga impuesta por la legislación o jurisdicción vigente, notificando previamente al Responsable del Tratamiento.
  • De igual modo, el Encargado del Tratamiento se compromete, tras la extinción de la relación contractual, a no conservar copia alguna de Información Confidencial. No obstante, el Encargado del tratamiento podrá conservar copia de la Información Confidencial con los datos debidamente bloqueados hasta la prescripción de las responsabilidades de cualquier índole.
  • El Encargado del Tratamiento garantiza que las personas autorizadas para tratar datos personales por cuenta del Responsable del Tratamiento se han comprometido a respetar la confidencialidad, a cuyos efectos manifiesta que ha realizado cuantas advertencias y suscrito cuantos documentos necesarios con su personal y colaboradores con el fin de asegurar el cumplimiento de tales obligaciones.
  • El Encargado del Tratamiento se compromete a mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

SEXTA.- NOTIFICACIÓN DE VIOLACIONES DE LA SEGURIDAD DE LOS DATOS

El Encargado del Tratamiento se obliga a comunicar al Responsable del Tratamiento a través de los medios previstos, sin dilación indebida y, en cualquier caso, antes del plazo máximo de cuarenta y ocho (48) horas desde su conocimiento, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia por parte del Responsable del Tratamiento.

SÉPTIMA. - DURACIÓN

El presente Anexo estará en vigor mientras se mantenga entre las partes la relación contractual que origina el acceso a los datos para su tratamiento.

A la finalización de la relación contractual, el Encargado del Tratamiento deberá devolver al Responsable del Tratamiento los datos de carácter personal y los soportes donde consten. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado del Tratamiento.

No obstante lo anterior, el Encargado del Tratamiento podrá conservar una copia, con los datos debidamente bloqueados, mientras pueda derivarse responsabilidad de la ejecución de la prestación.

OCTAVA. - CESIÓN Y SUBCONTRATACIÓN

El Responsable del Tratamiento permite que el Encargado del Tratamiento establezca acuerdos con Subcontratistas.

El Encargado del tratamiento se compromete a incluir en el contrato general de prestación de servicios o colaboración que suscriba con los Subcontratistas, con anterioridad a que se produzca su acceso a los Datos Personales, una cláusula o acuerdo de tratamiento de datos personales por medio del que cada Subcontratista se comprometa a cumplir las mismas obligaciones que ha asumido el Encargado del Tratamiento en virtud del presente anexo.

En ningún caso el Encargado del Tratamiento podrá realizar transferencias de datos personales a un tercer país u organización internacional que no garanticen un nivel de protección adecuado, según establezcan en cada momento las autoridades europeas y nacionales competentes.

NOVENA.- RESPONSABILIDAD

Las obligaciones establecidas para el Encargado del Tratamiento en el presente documento serán también de obligado cumplimiento para sus empleados, colaboradores, tanto externos como internos, y subcontratistas, por lo que el Encargado del Tratamiento responderá frente al Responsable del Tratamiento si tales obligaciones son incumplidas por tales empleados, colaboradores y subcontratistas.

En el caso de que el Encargado del Tratamiento destinara los datos a finalidades distintas a las previstas en el presente anexo, los comunicara a terceros o los utilizara incumpliendo las estipulaciones del presente anexo, deberá responder de cualesquiera consecuencias que pudieran derivarse de tales conductas, debiendo mantener indemne al Responsable del Tratamiento por cualquier reclamación de terceros fundada en dicho incumplimiento.

DÉCIMOPRIMERA. - EXTINCIÓN

El presente anexo se extinguirá por las causas generales establecidas en el Código Civil y en el Código de Comercio y en especial:

  1. Por el transcurso del plazo de duración de la relación contractual.
  2. Por la finalización de la relación contractual que mantienen las Partes, de los que el presente documento forma parte integrante como anexo, cualquiera que sea su causa.