Acuerdo de Protección de Datos

Acuerdo de Protección de Datos – Troper app

Última actualización el: 3 de abril de 2024

Este acuerdo de protección de datos (en adelante, el «Acuerdo») se aplica al procesamiento realizado por Troper Technologies (en adelante, «TROPER» o el «PROCESADOR DE DATOS»), una sociedad limitada cuya oficina registrada se encuentra en Calle Ayala 116 1º puerta 6, 28006, Madrid y que está registrada en el Registro Mercantil de Madrid bajo el número B70987201, en nombre de un cliente (en adelante, el «CLIENTE») que ha firmado un contrato de licencia (en adelante, el «Contrato») para el uso de la solución de comunicación desarrollada por TROPER.

TROPER y el CLIENTE se denominarán en adelante conjuntamente las «Partes».

Definiciones

Los términos reproducidos a continuación se entenderán dentro de estas disposiciones como se define en el Artículo 4 del GDPR:

«Acuerdo»: este Acuerdo de Protección de Datos, como se establece en el encabezado del presente, junto con todos sus anexos y modificaciones;

«Autoridad de Control»: La autoridad de control competente en España es la Agencia Española de Protección de Datos (AEPD), una autoridad administrativa independiente encargada de regular el uso de datos personales. Asiste a profesionales en su cumplimiento y ayuda a individuos a controlar sus datos personales y ejercer sus derechos;

«Consentimiento» del interesado: Cualquier expresión de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o un acto positivo claro, que se procesen datos personales que le conciernen;

«Destinatario»: La persona física o jurídica, autoridad pública, servicio u otro organismo que recibe comunicación de datos personales, ya sea o no un Tercero;

«Dato personal»: Cualquier información relativa a una persona física identificada o identificable (denominada «interesado»); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea, o uno o varios elementos específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física;

«Dato relacionado con la Salud» o «Dato de Salud»: Datos personales relacionados con la salud física o mental de una persona física, incluida la prestación de servicios de atención médica, que revelan información sobre el estado de salud de la persona;

«Derecho a la limitación del tratamiento»: Derecho de una persona a obtener del RESPONSABLE DEL TRATAMIENTO la limitación del tratamiento, bajo ciertas condiciones;

«Derecho a la portabilidad»: El derecho de una persona a recibir los datos personales que le conciernen, que ha proporcionado a un RESPONSABLE DEL TRATAMIENTO, en un formato estructurado, de uso común y lectura mecánica, y a transmitir esos datos a otro RESPONSABLE DEL TRATAMIENTO sin impedimentos por parte del RESPONSABLE DEL TRATAMIENTO al que se hayan comunicado los datos personales;

«Derecho al olvido y borrado digital»: El derecho de una persona a obtener del RESPONSABLE DEL TRATAMIENTO la supresión, lo antes posible, de datos personales que le conciernen, bajo ciertas condiciones;

«Derecho de acceso del interesado»: El derecho de una persona a obtener del RESPONSABLE DEL TRATAMIENTO la confirmación de si se están tratando o no datos personales que le conciernen y, en caso afirmativo, el acceso a los datos personales y a cierta información;

«Derecho a solicitar la rectificación»: El derecho de una persona a obtener del RESPONSABLE DEL TRATAMIENTO, lo antes posible, la rectificación de datos personales inexactos que le conciernen o que se completen los datos personales incompletos;

«Derecho de oposición y supresión»: Derecho de una persona a oponerse en cualquier momento, por motivos relacionados con su situación particular, a cierto tratamiento de datos personales que le conciernen, incluida la elaboración de perfiles;

«Derecho a organizar el destino de los datos personales después de la muerte»: El derecho de una persona a definir directrices generales o específicas relativas a la conservación, supresión y comunicación de sus datos personales después de su muerte;

«Finalidad del tratamiento»: Objetivos de tratamiento definidos en el Anexo 1 de este Acuerdo;

«Países terceros»: Países fuera de la Unión Europea no sujetos a una decisión de adecuación de la Comisión Europea según el Artículo 45 del GDPR;

«Reglamento»: todos los textos legales y reglamentarios aplicables en Francia y en la Unión Europea con respecto a la protección de datos personales y en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, el «GDPR») y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales tal como existe y tal como será modificada durante la vigencia del Contrato (en adelante, la «LOPDGDD») (colectivamente denominadas «Reglamento»);

«RESPONSABLE DEL TRATAMIENTO»: La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento. El Anexo 1 de este Acuerdo enumera los diversos RESPONSABLES DEL TRATAMIENTO, las operaciones de tratamiento y sus fines implementados en el marco del Proyecto objeto del Contrato;

«PROCESADOR DE DATOS» o «PROCESADOR DE DATOS DE NIVEL 1»: Persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del RESPONSABLE DEL TRATAMIENTO; El Anexo 1 de este Acuerdo enumera los diversos Procesadores de Datos y sus fines implementados en el marco del Proyecto objeto del Contrato;

«PROCESADOR DE DATOS DE NIVEL 2» o «PROCESADOR DE DATOS SUBSECUENTE»: Procesador de Datos contratado por un PROCESADOR DE DATOS para realizar actividades específicas de tratamiento por cuenta de dicho RESPONSABLE DEL TRATAMIENTO; El Anexo 1 de este Acuerdo enumera los diversos Procesadores de Datos de Nivel 2 y sus fines implementados bajo el Proyecto objeto del Contrato;

«Tercero»: Cualquier persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, el RESPONSABLE DEL TRATAMIENTO, el PROCESADOR DE DATOS y las personas que, bajo la autoridad directa del RESPONSABLE DEL TRATAMIENTO o del PROCESADOR DE DATOS, están autorizadas a tratar datos personales según el Artículo 4.10 del RGPD;

«Tratamiento de Datos Personales» o «Tratamiento»: Cualquier operación o conjunto de operaciones realizadas o no mediante procesos automatizados y aplicadas a datos o conjuntos de datos personales, como la recopilación, registro, organización, estructuración, conservación, adaptación o modificación, recuperación, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de provisión, alineación o interconexión, limitación, supresión o destrucción según el Artículo 4.2 del GDPR. Las operaciones de tratamiento se describen en el Anexo 1 de este Acuerdo y, más generalmente, en el Contrato concluido entre las Partes;

«Violación de Datos Personales»: Una violación de la seguridad que resulta en la destrucción, pérdida, alteración, divulgación no autorizada de datos personales transmitidos, conservados o de otro modo tratados de manera accidental o ilícita según el Artículo 4.12 del GDPR.

Los términos capitalizados no definidos en este Artículo tendrán el significado que se les da en el Artículo 1 «Definición» del Contrato.

Preámbulo

TROPER ha diseñado y desarrollado una solución digital de procesamiento de datos de salud, en adelante denominada la «Solución». La Solución se presenta en forma de extensión web o aplicación web con características de inteligencia artificial y se describe en la Documentación puesta a disposición de sus clientes por TROPER.

Las Partes han celebrado un Contrato (en adelante, el «Contrato») que implica la implementación de Tratamiento de Datos Personales por TROPER como PROCESADOR DE DATOS por cuenta del CLIENTE actuando ya sea como RESPONSABLE DEL TRATAMIENTO o como PROCESADOR DE DATOS del RESPONSABLE DEL TRATAMIENTO, siendo TROPER un PROCESADOR DE DATOS SUBSECUENTE en este último caso con fines y en el contexto del despliegue de la Solución.

A medida que se ejecuta el Contrato, el Tratamiento de Datos Personales puede cambiar.

Las operaciones de tratamiento cubiertas por este Acuerdo en la ejecución del Contrato se describen en el Anexo 1 de este Acuerdo. En caso de cambios en dicho tratamiento durante la ejecución del Contrato, las Partes acuerdan actualizar el Anexo 1 de este Acuerdo, que se considerará una modificación a este Acuerdo y al Contrato.

Este Acuerdo de Protección de Datos (en adelante, el «Acuerdo») se aplica entre las Partes para garantizar el cumplimiento de las disposiciones del Artículo 28 del GDPR.

En este contexto, las Partes acuerdan tratar los Datos Personales recopilados, intercambiados, producidos, administrados y alojados bajo el Acuerdo de acuerdo con:

  1. El Reglamento;
  2. Las disposiciones de este Acuerdo sobre la protección de datos personales.

Las Partes declaran en particular:

  1. que están al tanto de las obligaciones que surgen del Reglamento;
  2. que tienen todas las habilidades necesarias y recursos financieros suficientes para implementar y cumplir con todas las obligaciones que surgen del Reglamento para todos los servicios realizados en ejecución del Contrato;

TROPER se compromete a no tratar y/o consultar los Datos Personales o archivos utilizados bajo el Contrato para ningún propósito que no sea la ejecución de sus servicios bajo el Contrato, sujeto a lo provisto en el artículo 12.

1. Propósito del Acuerdo

Las disposiciones de este Acuerdo se aplicarán a todas las operaciones de tratamiento definidas en el Anexo 1 de este Acuerdo.

El propósito de este Acuerdo es definir las condiciones bajo las cuales TROPER se compromete a realizar, por cuenta del CLIENTE actuando ya sea como RESPONSABLE DEL TRATAMIENTO o como PROCESADOR DE DATOS del RESPONSABLE DEL TRATAMIENTO, las operaciones de Tratamiento de Datos Personales definidas en el Contrato y en el Anexo 1 de este Acuerdo.

Este Acuerdo se redacta en cumplimiento de, entre otros, las disposiciones de los Artículos 28, 32, 33, 34 y 47 del GDPR.

Dentro del marco de sus relaciones contractuales, las Partes se comprometen a cumplir con el Reglamento vigente aplicable al Tratamiento de Datos Personales. En particular, el CLIENTE garantiza que ha obtenido el consentimiento de los Interesados cuando es requerido por el Reglamento para el tratamiento de datos personales de salud realizado por el PROCESADOR DE DATOS en el contexto del uso de la Solución.

2. Documentos Contractuales

La relación entre las Partes estará regida por el Contrato y este Acuerdo.

La invalidez de una disposición de uno de los documentos contractuales mencionados anteriormente, juzgada por un tribunal competente, no afectará la validez de los otros documentos.

Cualquier renuncia a cualquier disposición de este Acuerdo o cualquiera de los Documentos Contractuales entre las Partes no constituirá una renuncia final a la totalidad del documento relevante y los otros Documentos Contractuales.

Las Partes pueden modificar el Acuerdo en particular para tener en cuenta cualquier cambio en el tratamiento de datos encomendado por el CLIENTE al PROCESADOR DE DATOS. Estos cambios serán exigibles contra el CLIENTE después de ser publicados por cualquier medio.

Las Partes reconocen que la aceptación del Acuerdo por medios electrónicos tiene el mismo valor probatorio entre las Partes que un acuerdo en papel.

3. Entrada en vigor – Duración

Este Acuerdo estará en plena vigencia sin reservas entre las Partes desde la fecha de firma del Contrato y se concluirá por la duración del Contrato.

Las obligaciones establecidas en este Acuerdo que tienen una base legal en el Reglamento sobrevivirán al término de este Acuerdo hasta el plazo de prescripción legal de cualquier acción de responsabilidad que pueda presentarse bajo el Reglamento.

4. Descripción del Procesamiento

El PROCESADOR DE DATOS está expresamente autorizado por el CLIENTE, en su caso en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, para tratar en su nombre los Datos Personales necesarios para realizar las operaciones sobre los Datos Personales especificados en el Contrato y en el Anexo 1 de este Acuerdo.

El Anexo 1 «Descripción del tratamiento» de este Acuerdo define:

  1. El objeto y tipo de cada Tratamiento,
  2. Los propósito(s) de cada Tratamiento,
  3. Las categorías de Tratamiento encomendadas al PROCESADOR DE DATOS,
  4. La base legal que asegura la licitud de cada Tratamiento,
  5. Las categorías de Datos Personales procesados,
  6. La duración de la retención de Datos Personales,
  7. Las categorías de Interesados,
  8. Información sobre el tratamiento adicional de datos,
  9. Información sobre transferencias fuera de la Unión Europea (UE).

La duración del Tratamiento realizado por el PROCESADOR DE DATOS no podrá exceder la duración del Contrato.

Cuando el Tratamiento requiere una formalidad con una autoridad de control local como la AEPD en España, el CLIENTE, en su caso en nombre del RESPONSABLE DEL TRATAMIENTO que será el único responsable de esto, se compromete a proporcionar al PROCESADOR DE DATOS todas las copias de las formalidades y recibos y, en su caso, autorizaciones emitidas por esta autoridad de control local.

5. Obligaciones del Procesador de Datos

El PROCESADOR DE DATOS se compromete a:

  1. Procesar los datos solo para el/los propósito(s) único(s) que son objeto del Contrato, en su caso, en cumplimiento de las formalidades completadas por el RESPONSABLE DEL TRATAMIENTO con la autoridad supervisora competente;
  2. Tratar los Datos Personales de acuerdo con las instrucciones documentadas del CLIENTE establecidas en el Anexo 1 de este Acuerdo y dentro del Contrato. Si el PROCESADOR DE DATOS considera que alguna instrucción constituye una violación del GDPR o cualquier otra disposición de la ley de la Unión o del Estado miembro relativa a la protección de datos o la ley local aplicable, debe informar inmediatamente al CLIENTE o al RESPONSABLE DEL TRATAMIENTO;
  3. Garantizar la confidencialidad de los Datos Personales procesados bajo el Contrato;
  4. Implementar todas las garantías suficientes con respecto a la implementación de medidas técnicas y organizativas adecuadas para que el Tratamiento cumpla con los requisitos del Reglamento y garantice la protección de los derechos del interesado;
  5. Asegurar que las personas autorizadas para tratar Datos Personales bajo el Contrato y este Acuerdo estén comprometidas con la confidencialidad y reciban la capacitación necesaria en la protección de Datos Personales;
  6. Considerar los principios de protección de datos por diseño y protección de datos por defecto, para sus herramientas, productos, aplicaciones o servicios.
6. Procesamiento Subsecuente de Datos

El PROCESADOR DE DATOS puede usar procesadores de datos subsiguientes para realizar el tratamiento de datos encomendado por el CLIENTE. El PROCESADOR DE DATOS garantiza que impone a los PROCESADORES DE DATOS SUBSECUENTES obligaciones de confidencialidad y seguridad al menos equivalentes a las acordadas bajo el Acuerdo.

Es responsabilidad del PROCESADOR DE DATOS asegurar que los PROCESADORES DE DATOS SUBSECUENTES presenten las mismas garantías suficientes con respecto a la implementación de medidas técnicas y organizativas adecuadas para que el Tratamiento cumpla con los requisitos del GDPR y otras leyes de protección de datos aplicables. Si los PROCESADORES DE DATOS SUBSECUENTES no cumplen con sus obligaciones de protección de datos, el PROCESADOR DE DATOS seguirá siendo plenamente responsable ante el CLIENTE y el RESPONSABLE DEL TRATAMIENTO por el desempeño de las obligaciones de los PROCESADORES DE DATOS SUBSECUENTES.

El PROCESADOR DE DATOS puede agregar o reemplazar un PROCESADOR DE DATOS SUBSECUENTE. En este caso, se compromete a informar al CLIENTE por el medio de su elección. El CLIENTE entonces tendrá un período de diez (10) días calendario desde la notificación para presentar sus objeciones por una razón válida relacionada con la protección de Datos Personales. Si el CLIENTE no objeta dentro de este período, el procesador de datos subsiguiente será considerado aceptado por el CLIENTE, sujeto al establecimiento de un contrato que le imponga obligaciones de confidencialidad y seguridad al menos equivalentes a las del Acuerdo antes de la transferencia de los Datos al procesador de datos subsiguiente.

Los PROCESADORES DE DATOS SUBSECUENTES serán responsables de cumplir con las obligaciones del Contrato, incluidas las obligaciones de este Acuerdo, en nombre y según las instrucciones del CLIENTE actuando cuando sea aplicable en nombre del RESPONSABLE DEL TRATAMIENTO.

Si el CLIENTE objeta al nombramiento de un procesador de datos subsiguiente bajo las condiciones descritas anteriormente, cada una de las Partes puede terminar el Contrato con un (1) mes de aviso siguiendo los términos del Artículo 15 del Contrato.

El CLIENTE, en su caso en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, ya autoriza el uso de los PROCESADORES DE DATOS SUBSECUENTES enumerados en el Anexo 1.

El CLIENTE reconoce que al cumplir con sus obligaciones bajo este Artículo, TROPER cumple con sus obligaciones bajo el Artículo 28.2 del GDPR.

7. Ejerecicio de los Derechos de los Interesados

En la medida de lo posible, el PROCESADOR DE DATOS ayudará al CLIENTE a cumplir con su obligación de cumplir con las solicitudes para ejercer los derechos de los Interesados: derecho de acceso, derecho a solicitar la rectificación y supresión, derecho de oposición, derecho a limitar el Tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (incluido la elaboración de perfiles).

En el caso de que el PROCESADOR DE DATOS reciba solicitudes de los Interesados, el PROCESADOR DE DATOS se compromete a reenviar dichas solicitudes al CLIENTE y cuando sea aplicable al RESPONSABLE DEL TRATAMIENTO sin demora, a la dirección de correo electrónico proporcionada por el CLIENTE.

Los servicios de gestión del ejercicio de los derechos de las personas en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO se facturarán al CLIENTE según las tarifas definidas en el Contrato.

Se acordará un procedimiento para la gestión del ejercicio de los derechos entre las Partes y se referirá en el Anexo 2 de este Acuerdo.

8. Notificación de Violación de Datos Personales

El PROCESADOR DE DATOS notificará al CLIENTE cualquier Violación de Datos Personales dentro de un máximo de 48 horas desde el descubrimiento de la violación enviando la siguiente información a la dirección de correo electrónico proporcionada por el CLIENTE:

  1. Descripción de la naturaleza de la violación de datos personales (incluyendo, si es posible, las categorías y el número aproximado de individuos afectados por la violación y las categorías y el número aproximado de registros de datos personales concernidos);
  2. Descripción de las posibles consecuencias de la violación de datos personales;
  3. Descripción de las medidas tomadas o propuestas para remediar la violación de datos personales.

Esta notificación se acompañará de cualquier documentación útil para permitir al CLIENTE y cuando sea aplicable al RESPONSABLE DEL TRATAMIENTO, si es necesario, notificar a la Autoridad de Control de la violación.

Dado la naturaleza del Tratamiento y la información disponible para él, el PROCESADOR DE DATOS también ayuda al CLIENTE y cuando sea aplicable al RESPONSABLE DEL TRATAMIENTO en notificar a los Interesados de la violación de datos personales.

9. Asistencia del responsable del Tratamiento por Parte del Procesador de Datos en el Cumplimiento de sus Obligaciones

Si es necesario, y a petición del CLIENTE, el PROCESADOR DE DATOS ayudará al CLIENTE a realizar evaluaciones de impacto sobre la protección de datos, principalmente con respecto a la identificación de las medidas de protección en lugar o planificadas para el Tratamiento.

Si es necesario, y a petición del CLIENTE, el PROCESADOR DE DATOS ayudará al CLIENTE y cuando sea aplicable al RESPONSABLE DEL TRATAMIENTO en hacer la solicitud de autorización previa a la AEPD o la autoridad de control competente.

10. Medidas de Seguridad

El PROCESADOR DE DATOS se compromete a implementar medidas de seguridad adecuadas para proteger el Tratamiento.

Cuando las operaciones realizadas por el PROCESADOR DE DATOS sobre los Datos se relacionan con Datos alojados por un anfitrión aprobado/certificado de datos personales de salud designado por el PROCESADOR DE DATOS en el Artículo 6 de este Acuerdo, el CLIENTE se compromete a cumplir estrictamente y a hacer que los Usuarios cumplan estrictamente con las medidas de seguridad definidas por este anfitrión, incluyendo en particular el acceso a los Datos por autenticación fuerte.

11. Destino de los Datos

Al final de los servicios relacionados con el Tratamiento, el PROCESADOR DE DATOS se compromete, a petición y a elección del CLIENTE o del RESPONSABLE DEL TRATAMIENTO cuando sea aplicable, a devolver los Datos Personales al CLIENTE o al RESPONSABLE DEL TRATAMIENTO de manera segura definida por el CLIENTE o el RESPONSABLE DEL TRATAMIENTO cuando sea aplicable o, por defecto, a eliminar todos los Datos Personales.

12. Reutilización

Debido a las sustanciales inversiones financieras, materiales y humanas realizadas por TROPER en el marco del Contrato para el desarrollo y actualización de la Solución, TROPER desea poder reutilizar los datos procesados en el marco del Contrato.

El CLIENTE, en su caso en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, garantiza que los Interesados han sido informados de sus derechos y han dado su consentimiento para el uso de sus datos en el marco del Contrato cuando sea requerido por las leyes aplicables o el Reglamento y autoriza al PROCESADOR DE DATOS a reutilizar los Datos procesados en el marco del Contrato, siempre y cuando este último se comprometa a cumplir con el Reglamento para todos estos Datos, para los usos enumerados a continuación:

  1. investigación y desarrollo de la Solución,
  2. mejora de su rendimiento, modelos y algoritmos desarrollados y entrenados por TROPER en el contexto de la Solución o cualquier otra solución publicada por TROPER,

sin que el CLIENTE y el RESPONSABLE DEL TRATAMIENTO puedan reclamar ningún derecho de propiedad intelectual relacionado con estos elementos.

El CLIENTE declara que ha evaluado y validado la compatibilidad de dichos usos en el sentido del Reglamento con los propósitos iniciales del tratamiento de datos llevado a cabo en el ámbito de este Contrato, de acuerdo con las condiciones establecidas en este Acuerdo. TROPER es productor en el sentido del artículo 133 de la Ley de Propiedad Intelectual española para la constitución de bases de datos en el contexto de los usos de reutilización definidos en este artículo.

13. Registro de Actividades de Tratamiento

El PROCESADOR DE DATOS declara que mantiene un registro escrito de todas las actividades de Tratamiento realizadas por cuenta del CLIENTE incluyendo:

  1. el nombre y los datos de contacto del CLIENTE y cuando sea aplicable del RESPONSABLE DEL TRATAMIENTO, de cualquier PROCESADOR DE DATOS SUBSECUENTE y, si es aplicable, del oficial de protección de datos del PROCESADOR DE DATOS;
  2. categorías de Tratamiento realizadas por cuenta del CLIENTE;
  3. la transferencia de Datos Personales fuera de la UE, cuando sea aplicable;
  4. en la medida de lo posible, una descripción general de las medidas técnicas y organizativas de seguridad, incluyendo pero no limitado a, cuando sea aplicable:
    1. pseudonimización y cifrado de Datos Personales;
    2. medios para asegurar la confidencialidad, integridad, disponibilidad y resiliencia constante de los sistemas y servicios de Tratamiento;
    3. medios para restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico;
    4. un procedimiento para probar, analizar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para asegurar la seguridad del Tratamiento.
14. Auditorías y Controles

Si el PROCESADOR DE DATOS recibe una orden judicial, demanda, citación u otro documento que requiera o busque obligar la producción de Datos Personales (incluyendo, por ejemplo, mediante interrogatorio oral, interrogatorios, solicitudes de información o documentos en procedimientos legales, citaciones, investigaciones civiles, inspecciones regulatorias o procedimientos similares), el PROCESADOR DE DATOS notificará inmediatamente al CLIENTE y cuando sea aplicable al RESPONSABLE DEL TRATAMIENTO, a menos que esté prohibido por la Regulación aplicable, y en cualquier caso no más tarde de dos (2) días hábiles.

15. Confidencialidad – Secreto Comercial – Secreto Profesional

El PROCESADOR DE DATOS está sujeto al secreto más estricto, incluyendo la confidencialidad, el secreto profesional y el secreto comercial (en adelante, el «Secreto») sobre el Tratamiento, incluidos en particular los datos personales, implementados en el contexto de la prestación de servicios.

El PROCESADOR DE DATOS se compromete, (i) durante la vigencia del Contrato y por un período de diez (10) años desde su terminación por cualquier motivo, siempre que el CLIENTE le haya encomendado la tarea de retención de datos, (ii) por toda la duración de esta tarea de retención, a mantener el Secreto de todos los Datos Personales y, en consecuencia:

  1. divulgar los Datos Personales solo a los miembros de su personal que necesiten conocer para la ejecución de este Acuerdo;
  2. tomar las medidas que ellos mismos toman con respecto a su propia información confidencial para prevenir su publicación o divulgación a Terceros.

En general, el PROCESADOR DE DATOS garantiza que mantendrá el secreto más estricto, bajo las mismas condiciones, de toda la información que llegue a su conocimiento o al de cualquier miembro de su personal, que sea objeto de este Acuerdo y el resto del Contrato.

16. Ley y Jurisdicción

El Acuerdo se rige por la ley española.

PARA CUALQUIER DISPUTA QUE SURJA ENTRE ELLAS CON RESPECTO A LA INTERPRETACIÓN O EJECUCIÓN DEL CONTRATO Y DESPUÉS DE UN INTENTO DE CONCILIACIÓN AMIGABLE, SE OTORGA JURISDICCIÓN EXPRESA AL JUZGADO DE LO MERCANTIL DE MADRID, NO OBSTANTE MÚLTIPLES DEMANDADOS O RECLAMACIONES DE GARANTÍA, INCLUSO PARA PROCEDIMIENTOS DE EMERGENCIA O PRECAUTORIOS, EN PROCEDIMIENTOS SUMARIOS O POR SOLICITUD.

Anexo 1 – Descripción del Tratamiento

Oficiales de Protección de Datos

Cada Parte nombra un Oficial de Protección de Datos y comunica a la otra Parte sus datosde contacto.

Para TROPER, los datos de contacto son los siguientes: info@troper.io

Formulario de Descripción del Tratamiento

  1. El responsable del tratamiento o el/los propósito(s) del(los) Tratamiento(s)El CLIENTE es el RESPONSABLE DEL TRATAMIENTO o el PROCESADOR DE DATOS DE NIVEL 1.
    1. Los propósitos del Tratamiento encomendados al PROCESADOR DE DATOS:
      1. alojamiento de datos en el contexto del uso de la Solución,
      2. una extensión web para procesamiento automático de lenguaje enriquecido con características que utilizan inteligencia artificial (la Solución),
    2. El PROCESADOR DE DATOS puede usar los datos para estos propósitos adicionales:
      1. la investigación y desarrollo de la Solución,
      2. mejorando su rendimiento, modelos y algoritmos desarrollados y entrenados por TROPER como parte de la Solución o cualquier otra solución publicada por TROPER.
  1. Licitud del Tratamiento
    1. La base legal para el Tratamiento es:
      1. Consentimiento explícito del Interesado para el tratamiento de sus Datos Personales para uno o más propósitos específicos, cuando sea requerido por el Reglamento,
      2. Necesidad del Tratamiento para los fines de medicina preventiva, diagnóstico médico, la administración de atención o tratamiento, o la gestión de servicios de salud y llevado a cabo por un miembro de una profesión de salud, o por otra persona sobre la cual se impone un deber de confidencialidad en razón de sus deberes,
      3. Necesidad del Tratamiento para la ejecución de un contrato en el que el Interesado es parte o para la ejecución de medidas precontractuales tomadas a petición del Interesado.
  2. Categorías de Datos Personales procesados
    1. Las categorías de Datos Personales procesados pueden incluir:
      1. Estado civil, identidad, datos de identificación, imágenes, etc.,
      2. Vida personal (hábitos de vida, situación familiar, etc.),
      3. Datos de conexión (dirección IP, identificadores en registros, etc.),
      4. Datos de ubicación (movimientos, datos GPS, GSM, etc.),
      5. Datos relacionados con la salud,
      6. Número de seguridad social o datos de verificación de identidad.
  3. Períodos de retención de los Datos Personales procesados
    1. Los Datos de los Usuarios se conservan por la duración del Contrato y del uso de la Solución por el Usuario o Usuario Final, luego se archivan según las reglas establecidas por el CLIENTE, en cumplimiento con las recomendaciones de la regulación local aplicable.
  4. Categorías de Interesados
    1. Usuarios según se define en el Contrato y pacientes de los Usuarios.

Procesamiento Subsecuente

Empresa – subcontratista

Producto – Servicio

Propósito del tratamiento de datos

Gogle Ireland Ltd

Google Cloud

Alojamiento de datos de salud

Open AI LLC

GPT-3 y GPT-4

Procesamiento de lenguaje natural

Microsoft Ireland Operations Ltd

Speech, GPT-3 y GPT-4

Procesamiento de lenguaje natural

Transcripción de texto a voz de conustas en persona o por vídeo

Transferencias de Datos Personles a Países Terceros (Fuera de la UE)

En general, los Datos no se procesan ni se transfieren fuera de la Unión Europea excepto para el tratamiento de datos completado con las herramientas y servicios proporcionados por OpenAI, una empresa con sede en EE. UU. Sin embargo, en el caso de que se transfiera información personal fuera de la Unión Europea, TROPER asegurará que el tercer país en cuestión tenga un nivel de protección considerado adecuado por la Comisión Europea con respecto a la regulación europea (RGPD). Cuando este no sea el caso, TROPER asegurará que la transferencia se realice de acuerdo con las Cláusulas Contractuales Estándar (SCC) adoptadas por la Comisión Europea o las autoridades supervisoras, incluida la AEPD en España, para garantizar la protección de esta información.

Apéndice 2 – Procedimiento para Gestionar el Ejercicio de Derechos

De conformidad con el Capítulo III del GDPR, el CLIENTE, en su capacidad como RESPONSABLE DEL TRATAMIENTO o como representante del RESPONSABLE DEL TRATAMIENTO, debe facilitar el ejercicio de los derechos conferidos al interesado.

Para este fin, el CLIENTE informará a los interesados sobre los procedimientos para solicitar acceso a sus datos personales o para ejercer su derecho a solicitar la rectificación, supresión, limitación del tratamiento, portabilidad de datos y su derecho a oponerse.

El CLIENTE puede solicitar el apoyo del PROCESADOR DE DATOS para responder a las solicitudes de los Interesados. Se acuerda entre las Partes que el CLIENTE garantiza haber verificado la identidad del solicitante para asegurar que el solicitante tiene derecho a acceder a los datos personales o a ejercer un derecho.

Una vez que el CLIENTE haya verificado la identidad del solicitante y que él/ella es el titular de la cuenta, reenviará cuando sea necesario la solicitud a TROPER utilizando la dirección info@troper.io.

TROPER examinará la solicitud de ejercicio de derechos y responderá sin demora y a más tardar dentro de un mes de su recepción.

Si es necesario, este período puede extenderse por dos meses, dependiendo de la complejidad y cantidad de solicitudes. TROPER informará al interesado o al CLIENTE, según la opción del CLIENTE, de esta extensión y las razones del aplazamiento dentro de un mes de recibir la solicitud.

Si TROPER no cumple con la solicitud del interesado, TROPER informará al interesado o al CLIENTE, según la opción del CLIENTE, sin demora y a más tardar dentro de un mes de la recepción de la solicitud, que puede extenderse por dos meses si TROPER ha informado al interesado de tal extensión, de las razones de su inacción y de la posibilidad de presentar una queja ante una autoridad supervisora y de presentar una apelación legal.

TROPER informará al CLIENTE de la respuesta proporcionada al interesado si se solicita.

No se requiere pago para responder a las solicitudes del interesado. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, particularmente debido a su carácter repetitivo, TROPER puede:
– requerir que el RESPONSABLE DEL TRATAMIENTO pague una tarifa razonable que refleje los costos administrativos incurridos en proporcionar la información o tomar la acción solicitada;
– o negarse a actuar sobre estas solicitudes.