Acuerdo de Encargo de Tratamiento de Datos Personales (RGPD)

1. Partes y rol en el tratamiento

Responsable del tratamiento: el profesional o entidad cliente que contrata la plataforma IKI Health y decide los fines y medios del tratamiento de los datos de sus pacientes/clientes.

Encargado del tratamiento: IKI HEALTH GROUP S.L., que trata los datos personales por cuenta del Responsable exclusivamente para prestar el servicio descrito en los Términos y Condiciones.

2. Objeto, finalidad y duración del encargo

El presente DPA tiene por objeto regular el tratamiento de datos personales por parte de IKI Health, por cuenta del Responsable, con la única finalidad de prestar los servicios de la plataforma SaaS contratados.

El encargo tendrá la misma duración que la relación contractual principal; a la finalización, IKI Health suprimirá o devolverá los datos al Responsable, salvo conservación bloqueada por obligaciones legales.

3. Categorías de interesados y de datos

Podrán tratarse, entre otros, datos de: pacientes/clientes del Responsable, usuarios finales de la plataforma y personal del Responsable que accede a la misma.

Las categorías de datos incluyen datos identificativos y de contacto, y datos relacionados con hábitos, bienestar, salud y estilo de vida, considerados categorías especiales de datos conforme al RGPD.

4. Obligaciones del Encargado (IKI Health)

IKI Health se compromete a:

  • Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable y con la finalidad de prestar el servicio.
  • No utilizar los datos para fines propios, ni cederlos a terceros salvo subencargados autorizados o exigencia legal motivada.
  • Garantizar que las personas autorizadas a tratar datos se comprometen por escrito a guardar confidencialidad y reciben la formación necesaria en protección de datos.
  • Implementar medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, de acuerdo con el riesgo asociado a datos de salud.
  • Llevar un registro de actividades de tratamiento correspondiente a los servicios prestados como encargado.
  • Notificar al Responsable, sin dilación indebida y en todo caso dentro del plazo máximo de 48 horas, cualquier violación de seguridad de los datos personales de la que tenga conocimiento, incluyendo la información mínima exigida por el RGPD.
  • Asistir al Responsable en la atención de las solicitudes de ejercicio de derechos de los interesados y en la realización de evaluaciones de impacto o consultas previas cuando proceda.

5. Subencargados del tratamiento

IKI Health podrá recurrir a proveedores tecnológicos (p. ej., servicios de hosting, comunicaciones, pasarelas de pago) que actúen como subencargados, seleccionados por su cumplimiento del RGPD.

En estos casos, IKI Health firmará con cada subencargado un contrato que imponga las mismas obligaciones de protección de datos que las previstas en este DPA; IKI Health seguirá siendo plenamente responsable frente al Responsable por el cumplimiento de las obligaciones del subencargado.

6. Asistencia al Responsable y derechos de los interesados

IKI Health asistirá al Responsable, en la medida de lo posible y atendiendo a la naturaleza del tratamiento, para que este pueda cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas.

Cuando un interesado dirija directamente a IKI Health una solicitud de ejercicio de derechos relativa a datos tratados por cuenta del Responsable, IKI Health la comunicará al Responsable sin dilación indebida y, en todo caso, dentro del siguiente día laborable.

7. Destino de los datos al término del servicio

Finalizada la prestación del servicio, IKI Health suprimirá o devolverá al Responsable los datos personales y, en su caso, a otro encargado designado por este, así como cualquier soporte que los contenga, salvo que exista obligación legal de conservación.

En caso de conservación, los datos quedarán debidamente bloqueados mientras puedan derivarse responsabilidades legales.

8. Medidas de seguridad

IKI Health se compromete a mantener medidas de seguridad técnicas y organizativas adecuadas al riesgo, que incluirán, al menos:

  • Control de acceso lógico y físico a los sistemas.
  • Seudonimización y/o cifrado de datos personales, cuando proceda.
  • Copias de seguridad y mecanismos de restauración rápida de la disponibilidad de los datos en caso de incidente.
  • Procedimientos de verificación, evaluación y valoración regulares de la eficacia de las medidas implantadas.
 tracker