Acuerdo de procesamiento de datos
Cliente según se menciona en el acuerdo principal del que forma parte este acuerdo de procesamiento de datos.
y
The MedGuide Company B.V., que opera bajo el nombre de The MedGuide Company, inscrita en el Registro Mercantil de la Cámara de Comercio con el número 76091465, con domicilio social y oficinas en (1013 AP) Ámsterdam, Danzigerkade 227 B (en adelante denominada MedGuide o Encargado), representada legalmente por su director general, el señor J.T. van der Kleij;
en adelante conjuntamente denominadas: Partes.
Las Partes consideran lo siguiente:
Y acuerdan lo siguiente:
y
The MedGuide Company B.V., que opera bajo el nombre de The MedGuide Company, inscrita en el Registro Mercantil de la Cámara de Comercio con el número 76091465, con domicilio social y oficinas en (1013 AP) Ámsterdam, Danzigerkade 227 B (en adelante denominada MedGuide o Encargado), representada legalmente por su director general, el señor J.T. van der Kleij;
en adelante conjuntamente denominadas: Partes.
Las Partes consideran lo siguiente:
- El Cliente, como Responsable del tratamiento de los datos personales en virtud del Reglamento General de Protección de Datos (en adelante denominado: RGPD), está obligado a celebrar un acuerdo de procesamiento de datos con el Encargado;
- En el marco de los trabajos acordados entre las partes establecidos en un acuerdo y que serán ejecutados por el Encargado, este último tratará en nombre del Cliente y por encargo del mismo datos personales que pertenecen al Cliente, sin estar sujeto a la autoridad directa del Cliente;
- El Encargado tratará los datos personales de acuerdo con las instrucciones y bajo la responsabilidad del Cliente en la ejecución de los trabajos;
- El Cliente y el Encargado han tomado conocimiento del artículo 32 del RGPD para elegir un nivel de protección adecuado;
- Adicionalmente, el Cliente podrá encargar por escrito otros tratamientos al Encargado, que se adjuntarán como anexo a este acuerdo de procesamiento de datos;
- El Encargado solo realizará el tratamiento de datos que haya sido encargado por escrito por el Cliente;
- Si el Cliente encarga tratar más datos personales o diferentes a los descritos en el anexo aplicable, o si el tratamiento se realiza de forma diferente, este acuerdo de procesamiento de datos también se aplica a dichos tratamientos y datos personales.
Y acuerdan lo siguiente:
Artículo 1. Definiciones
Los términos utilizados en el acuerdo de procesamiento de datos se derivan del RGPD y tienen el siguiente significado:
Datos personales
Toda información sobre una persona física identificada o identificable ('el Interesado'). Se considera identificable una persona física que pueda ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Tratamiento
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.
Responsable del tratamiento
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.
Encargado del tratamiento
La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.
Interesado
Persona física identificada o identificable a la que se refieren los datos personales tratados.
Acuerdo de procesamiento de datos
El presente acuerdo incluidos los anexos.
Acuerdo
El acuerdo principal celebrado entre el Responsable/Cliente y el Encargado en relación con los servicios prestados por el Encargado, posiblemente en forma de una oferta firmada por las partes.
Violación de seguridad de datos personales
Una violación de la seguridad que ocasione de forma accidental o ilícita la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (Filtración de datos).
Incidente de seguridad
Un evento en el que existe la posibilidad de que la confidencialidad, integridad o disponibilidad de la información o de los sistemas de tratamiento de la información esté o pueda estar en peligro.
Autoridad de control
Una autoridad pública independiente responsable de supervisar el cumplimiento de la legislación en relación con el tratamiento de datos personales. En los Países Bajos, esto es la Autoridad de Protección de Datos (AP).
Datos personales
Toda información sobre una persona física identificada o identificable ('el Interesado'). Se considera identificable una persona física que pueda ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Tratamiento
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales.
Responsable del tratamiento
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales.
Encargado del tratamiento
La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.
Interesado
Persona física identificada o identificable a la que se refieren los datos personales tratados.
Acuerdo de procesamiento de datos
El presente acuerdo incluidos los anexos.
Acuerdo
El acuerdo principal celebrado entre el Responsable/Cliente y el Encargado en relación con los servicios prestados por el Encargado, posiblemente en forma de una oferta firmada por las partes.
Violación de seguridad de datos personales
Una violación de la seguridad que ocasione de forma accidental o ilícita la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (Filtración de datos).
Incidente de seguridad
Un evento en el que existe la posibilidad de que la confidencialidad, integridad o disponibilidad de la información o de los sistemas de tratamiento de la información esté o pueda estar en peligro.
Autoridad de control
Una autoridad pública independiente responsable de supervisar el cumplimiento de la legislación en relación con el tratamiento de datos personales. En los Países Bajos, esto es la Autoridad de Protección de Datos (AP).
Artículo 2. Tratamiento de datos personales
- El Cliente encomienda al Encargado, quien acepta dicho encargo, tratar datos personales de conformidad con el presente acuerdo de procesamiento de datos.
- El Cliente sigue siendo el Responsable del tratamiento de datos. El Encargado no tiene potestad independiente sobre los datos personales que trata para el Cliente de acuerdo con el presente acuerdo de procesamiento de datos.
- El Encargado trata los datos personales únicamente sobre la base de instrucciones escritas del Cliente, incluidas las relativas a la transferencia de datos personales a un tercer país u organización internacional, a menos que la legislación aplicable al Encargado le obligue a ello. En tal caso, el Encargado informará al Cliente antes del tratamiento sobre dicha disposición legal, a menos que la legislación lo prohíba por razones imperiosas de interés público. El Encargado notificará al Cliente de inmediato si una instrucción constituye una infracción del RGPD u otras disposiciones de protección de datos.
- El Cliente es responsable de garantizar que exista una base legal válida para el tratamiento de los datos personales de conformidad con la legislación de privacidad.
- El Encargado tratará los datos personales estrictamente necesarios facilitados por el Cliente mencionados en el anexo 1 aplicable, exclusivamente para los fines allí descritos. El Encargado se abstendrá de realizar otras operaciones, a menos que se acuerde lo contrario en el anexo aplicable.
Artículo 3. Cumplimiento de la legislación y normativa
- El Encargado actuará en el tratamiento de datos personales descrito en el artículo 2 y en el anexo aplicable, de conformidad con el RGPD y demás legislación y normativa aplicables en materia de protección de datos.
Artículo 4. Responsabilidad
- El Encargado es responsable de los daños directos derivados del incumplimiento imputable del presente acuerdo de procesamiento de datos, así como de una infracción imputable del RGPD y de toda la normativa europea de privacidad vigente y la autorregulación relacionadas. Se entiende por daños directos únicamente los costes razonables incurridos para que la prestación defectuosa del Encargado cumpla con el acuerdo de procesamiento de datos, en la medida en que puedan imputarse al Encargado.
- El Encargado nunca es responsable de daños indirectos, daños consecuenciales, daños a la imagen, lucro cesante, pérdida de ingresos o ahorros y/o reducción del fondo de comercio.
- La responsabilidad total del Encargado por cualquier motivo se limita al importe que efectivamente pague el asegurador de responsabilidad del Encargado en el caso aplicable.
- Si el asegurador del Encargado no procede a la indemnización y el Encargado, no obstante, está obligado por sentencia judicial a indemnizar daños, el alcance de la responsabilidad del Encargado se limita al total de los importes facturados que el Cliente haya pagado al Encargado durante un período máximo de 12 meses anteriores al evento.
- Lo dispuesto en este artículo se aplica igualmente a las personas jurídicas y físicas contratadas por el Encargado para la prestación de los servicios.
- Las limitaciones y exclusiones mencionadas en este artículo caducan si hay dolo o imprudencia grave por parte de la dirección del Encargado.
Artículo 5. Medidas de seguridad e inspección
- El Encargado tomará, mantendrá, evaluará y, si es necesario, adaptará y actualizará las medidas técnicas y organizativas adecuadas para proteger los datos personales contra pérdida, robo o cualquier forma de tratamiento ilícito. Estas medidas garantizan, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, el estado de la técnica y los costes de aplicación, un nivel de seguridad apropiado en relación con la probabilidad y gravedad de los diversos riesgos que el tratamiento de los datos personales a proteger conlleva, y cumplen con lo dispuesto en el artículo 32 del RGPD.
- El Encargado pondrá a disposición del Cliente, a petición de este, toda la información necesaria para demostrar el cumplimiento de lo dispuesto en el apartado 1.
- El Encargado trata o hace tratar datos personales únicamente en el Espacio Económico Europeo (EEE). Si el Encargado desea tratar o hacer tratar los datos personales del Cliente fuera del Espacio Económico Europeo, lo hará o hará que se haga con el consentimiento previo por escrito del Cliente y exclusivamente en países designados por la Comisión Europea como países con un nivel de protección adecuado o que proporcionen un nivel de protección adecuado mediante medidas adicionales.
- El Encargado permite al Cliente realizar o hacer realizar una auditoría una vez al año, con el fin de verificar lo dispuesto en el presente acuerdo de procesamiento de datos. El Encargado prestará su cooperación al respecto y pondrá a tiempo toda la información relevante para la auditoría que sea necesaria para demostrar el cumplimiento de las obligaciones establecidas en el acuerdo de procesamiento de datos.
- El Cliente no realizará auditorías a los Subencargados, ya que el Encargado es responsable de ello.
- Las personas que realicen una auditoría deberán conformarse con los procedimientos de seguridad vigentes en el Encargado. Los costes de una auditoría corren íntegramente a cargo del Cliente, a menos que la auditoría revele que el Encargado ha actuado en incumplimiento del presente acuerdo de procesamiento de datos en puntos no menores de forma imputable.
- El Cliente limitará la auditoría a lo establecido en el presente acuerdo de procesamiento de datos y a los tratamientos de datos y datos personales del Cliente. Los tratamientos de datos que el Encargado realice para otros Clientes quedan excluidos de esta auditoría. Toda la información a la que el Cliente tenga acceso durante la auditoría será mantenida en secreto por el Cliente. Esto también se aplica al tercero contratado por el Cliente para realizar la auditoría. El Cliente garantizará que los procesos de trabajo normales del Encargado no se vean perturbados durante una auditoría e informará al Encargado con suficiente antelación sobre una auditoría a programar.
Artículo 6. Obligación de notificación de filtración de datos
- Si el Encargado tiene conocimiento de una filtración de datos durante el tratamiento de datos personales, notificará al Cliente a más tardar 48 horas después del descubrimiento. El Encargado tomará entretanto todas las medidas técnicas y organizativas posibles para detener, prevenir y/o remediar la filtración de datos. El Encargado proporcionará en la notificación información (en la medida en que se conozca) sobre la naturaleza de la infracción, la naturaleza de los datos personales filtrados, las medidas técnicas de protección y otros hechos y circunstancias relevantes que sean importantes para determinar si la autoridad supervisora y/o el interesado deben ser informados por el Cliente.
- El Encargado completará íntegramente el Anexo 2 'Notificación de filtración de datos por el Encargado' y lo enviará digitalmente al Cliente. El Cliente es responsable de notificar sin demora al Encargado si se produce algún cambio en ello. El Encargado asume que la información proporcionada por el Cliente es correcta.
- El Encargado documentará todas las filtraciones de datos e incidentes de seguridad. La documentación se facilitará a petición escrita del Cliente, con el fin de garantizar que el Cliente pueda presentarla a la Autoridad de Protección de Datos.
- Si existe la obligación de notificar a la autoridad supervisora o de informar a los interesados, ello será realizado exclusivamente por el Cliente. El Encargado prestará su cooperación al respecto.
- El Encargado, teniendo en cuenta la naturaleza del tratamiento y la información a su disposición, asistirá al Cliente en el cumplimiento de las obligaciones del artículo 35 del RGPD (evaluación de impacto sobre la protección de datos) y del artículo 36 del RGPD (consulta previa).
Artículo 7. Contratación de Subencargados
- El Encargado no está autorizado a utilizar un Subencargado en el marco del presente acuerdo de procesamiento de datos, a menos que el Cliente haya dado su consentimiento previo por escrito.
- Si el Encargado desea tratar los datos personales fuera del Espacio Económico Europeo, solo podrá hacerlo en países designados por la Comisión Europea como países con un nivel de protección adecuado o que proporcionen un nivel de protección adecuado mediante medidas adicionales.
- El Cliente autoriza al Encargado a contratar a los Subencargados mencionados en el anexo aplicable.
- El Subencargado ofrece garantías suficientes con respecto a la aplicación de medidas técnicas y organizativas adecuadas para que el tratamiento cumpla con lo dispuesto en el presente acuerdo de procesamiento de datos y el RGPD.
- Si el Encargado ha contratado a un Subencargado, el Encargado es plenamente responsable del cumplimiento de todas las obligaciones por parte de dicho Subencargado. El Encargado impondrá al Subencargado en un acuerdo escrito las mismas obligaciones que las que le incumben en virtud del presente acuerdo de procesamiento de datos, de modo que el Subencargado también quede vinculado por estas disposiciones.
- El Encargado debe mantener una lista de Subencargados, incluidas las tareas a realizar.
Artículo 8. Obligación de confidencialidad
- El Encargado, su personal y los terceros contratados por él están obligados a mantener en secreto los datos personales de los que tengan conocimiento.
- El Encargado solo permite el acceso a los datos personales a sus empleados y a los terceros contratados en la medida en que sea necesario para realizar el tratamiento de datos encargado por el Cliente.
- El Encargado impondrá de forma demostrable a las personas que presten servicios para él, incluida la política de sanciones, la obligación de confidencialidad con respecto a los datos personales de los que puedan tener conocimiento.
- La obligación de confidencialidad del Encargado solo puede ser levantada cuando una disposición legal obligue a proporcionar datos personales o cuando el funcionario designado por el Cliente le indique al Encargado la necesidad de proporcionarlos.
- Si una autoridad supervisora del Cliente solicita acceso al tratamiento de datos, el Encargado debe prestar toda la cooperación necesaria para que el Cliente pueda cumplir sus obligaciones.
- La obligación de confidencialidad se aplica tanto durante como después del final de los trabajos y permanece vigente incluso después de la rescisión del presente acuerdo de procesamiento de datos.
- El Encargado informará al Cliente de toda solicitud de acceso, entrega u otra forma de consulta y comunicación de los datos personales, a menos que la legislación prohíba dicha notificación por razones imperiosas de interés público.
Artículo 9. Derechos de los interesados
- Si un interesado invoca alguno de sus derechos en virtud de los artículos 15 a 22 del RGPD ante el Encargado, este remitirá dicha solicitud al Cliente lo antes posible.
- El Encargado prestará asistencia completa y oportuna al Cliente en el ejercicio de su deber de responder a las solicitudes de los interesados. Los costes asociados correrán a cargo del Cliente.
Artículo 10. Disposiciones finales
- A este acuerdo de procesamiento de datos no se aplican condiciones generales. El derecho neerlandés es de aplicación. Se excluye la aplicabilidad de la Convención de Viena sobre Compraventa Internacional de Mercaderías. Los litigios se someterán al Tribunal del distrito donde el Encargado tenga su domicilio.
- Si en otro acuerdo o documento entre el Cliente y el Encargado se incluyen disposiciones que difieran de lo establecido en el presente acuerdo de procesamiento de datos, prevalecerá lo dispuesto en el presente acuerdo de procesamiento de datos.
- Las modificaciones del presente acuerdo de procesamiento de datos solo son válidas si han sido acordadas por escrito entre las Partes. Las Partes no tienen derecho a transferir el presente acuerdo de procesamiento de datos a un tercero.
- El presente acuerdo de procesamiento de datos entra en vigor en el momento en que sea firmado por las Partes y tiene una duración igual a la del acuerdo. El presente acuerdo de procesamiento de datos no puede ser rescindido por separado de forma anticipada.
- Los artículos del acuerdo de procesamiento de datos que por su naturaleza están destinados a seguir siendo aplicables tras la finalización del mismo, incluido, entre otros, el artículo sobre responsabilidad, seguirán siendo plenamente vigentes.
Anexo 1 - Tratamiento de datos por The MedGuide Company B.V.
Trabajos
El Encargado realizará los siguientes trabajos:
- Analizar, priorizar y reportar problemas farmacoterapéuticos para los pacientes del Cliente mediante un análisis farmacoterapéutico.
- Presentar los resultados al Cliente en un panel de resultados en línea.
- Poner los resultados de la investigación a disposición para su exportación desde el panel de resultados en línea por parte del Cliente.
Interesados
Pacientes del Cliente.
Datos personales
El Encargado recibe para ello los siguientes datos personales:
El Cliente garantiza que en el marco del tratamiento de datos personales acordado no se faciliten más datos personales de los estrictamente necesarios para la ejecución del acuerdo.
- Número de paciente
- Nombre
- Dirección
- Lugar de residencia
- Dirección de correo electrónico
- Número de teléfono
- Sexo
- Edad o fecha de nacimiento
- Datos personales adicionales necesarios para la prestación de los servicios
El Cliente garantiza que en el marco del tratamiento de datos personales acordado no se faciliten más datos personales de los estrictamente necesarios para la ejecución del acuerdo.
Períodos de conservación
Archivos de datos
Para evitar el almacenamiento innecesario de datos de clientes en los servidores de la plataforma MedGuide, los archivos de datos, si se suministran de forma automatizada, se eliminarán después de 30 días.
Subencargados dentro del Espacio Económico Europeo
El Cliente autoriza la contratación de los siguientes Subencargados establecidos dentro del Espacio Económico Europeo:
Subencargados fuera del Espacio Económico Europeo
El Cliente autoriza la contratación de los siguientes Subencargados establecidos fuera del Espacio Económico Europeo:
Para evitar el almacenamiento innecesario de datos de clientes en los servidores de la plataforma MedGuide, los archivos de datos, si se suministran de forma automatizada, se eliminarán después de 30 días.
Subencargados dentro del Espacio Económico Europeo
El Cliente autoriza la contratación de los siguientes Subencargados establecidos dentro del Espacio Económico Europeo:
| Nombre | Datos de dirección | Tratamientos | ||
|---|---|---|---|---|
| Microsoft Nederland | Evert van Beekstraat 354, 1118 CZ Schiphol | MS Azure | ||
| MongoDB | Wilhelminakade 173, 3072 AP Rotterdam | Base de datos |
Subencargados fuera del Espacio Económico Europeo
El Cliente autoriza la contratación de los siguientes Subencargados establecidos fuera del Espacio Económico Europeo:
- No aplicable.
Anexo 2 - Notificación de filtración de datos por el Encargado
Notificación de filtración de datos por parte del Encargado
La notificación es realizada por el Encargado al Responsable dentro de las 48 horas posteriores al descubrimiento de una filtración de datos por parte del Encargado. Las actualizaciones del formulario de preguntas se pondrán a disposición del Responsable lo antes posible.
Formulario de notificación
Este documento fue actualizado por última vez el 29 de enero de 2026.