Acuerdo de Procesamiento de Datos

Este Acuerdo de Procesamiento de Datos (en adelante el “DPA”) forma parte integrante de los Términos y Condiciones de Uso de los Servicios (el “Acuerdo”) y regula la forma en que Healthatom trata los Datos (según este concepto se define en el Acuerdo).

Para los efectos de este DPA el Cliente actúa como Responsable del tratamiento y Healthatom como Encargado.

Asimismo, si el Cliente es residente de la Unión Europea, se entiende que acepta además, el Anexo II de cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, el que pasa a formar parte integrante de este DPA.

I. Encargo de Tratamiento, Finalidades y categorías de Datos

El Cliente viene en encargar a Healthatom el tratamiento de los Datos. Healthatom acepta el encargo y se obliga a procesar los Datos de acuerdo con lo establecido en el presente instrumento.

Finalidades: El Encargado del tratamiento tratará los Datos con la finalidad de (i) realizar una adecuada prestación de los servicios contratados por el Prestador (ii) dar cumplimiento a las obligaciones legales; (iii) realizar todas las gestiones necesarias para confirmar y actualizar los datos. Asimismo, Healthatom podrá elaborar modelos de comportamiento y predicción, como asimismo utilizar los Datos con fines estadísticos, históricos, de estudios de mercados, entre otros, en cuyos casos los Datos se utilizarán en forma anonimi

Operaciones de tratamiento: el tratamiento que realizará el Encargado incluirá, entre otras, las operaciones de recolección, almacenamiento, grabación, organización, elaboración, selección, extracción, confrontación, interconexión, disociación, comunicación, cesión, transferencia, transmisión, cancelación, o utilización en cualquier otra forma establecida en este DPA.

Categorías de datos: Las categorías de datos personales transferidos serán determinadas por el Cliente, pero pueden incluir, entre otros, el nombre, género, origen étnico o racial, domicilio, dirección de correo electrónico, número de teléfono, identificador único personal, información de seguros de salud, información clínica, importe por cobrar, fecha y hora, dirección IP, ubicación y cualquier otro dato que Healthatom reciba durante la vigencia del Acuerdo.

Territorio: el tratamiento de datos tendrá lugar en los territorios de Chile, sin perjuicio del tratamiento que realicen los Subprocesadores y que tenga lugar en otros territorios.

II. Obligaciones del Encargado

Sin perjuicio del cumplimiento de las obligaciones del presente DPA, el Encargado cumplirá con la normativa de protección de datos aplicable según el Acuerdo. Así, el Encargado solo tratará los datos personales según las instrucciones del Responsable, y, en particular, no tratará los datos para finalidades propias y deberá guardar especial reserva respecto de los datos. Si el Encargado, por razones legales, debe compartir información con una autoridad judicial, el Encargado lo notificará oportunamente al Responsable.

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En el Anexo I del presente DPA se detallan dichas medidas.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del Acuerdo, el Encargado pondrá sus mejores esfuerzos en implementar las medidas de seguridad que le fueran exigibles.

El Encargado colaborará con el Responsable ante las solicitudes de los interesados que tengan por objeto el ejercicio de los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de los Datos, así como en cualquier otro tipo de procesos de evaluación de impacto del tratamiento de Datos.

III. Declaraciones y garantías

El Responsable declara y garantiza que los Datos que gestiona a través de la Plataforma son de su propiedad y que los titulares de dichos Datos han manifestado el correspondiente consentimiento al tratamiento de datos que realiza el Cliente o que este cuenta con una base de licitud fundada en la ley o en un contrato de prestación de servicios. En consecuencia, el Encargado declara -y el Responsable acepta tal declaración- que se exime de toda responsabilidad por los daños que pueda experimentar el Encargado en los siguientes casos:

  1. Tratamiento de los Datos por parte del Responsable sin una base de licitud.
  2. Falta de entrega, entrega tardía, parcial o incompleta de los Datos.
  3. Errores, invalidez, caducidad o pérdida de vigencia de los Datos, de manera que estos dejen de ser fidedignos, íntegros y vigentes.
IV. Transferencia internacional de Datos

El Responsable autoriza expresamente a Healthatom para subcontratar los servicios de terceras personas que considere necesarios para la correcta realización de los Servicios, en el entendido que las obligaciones de Healthatom para con el Cliente no podrán disminuir de manera alguna. Dichos subcontratistas tendrán la condición de subencargados del tratamiento y se sujetarán a las normas aplicables.

El Cliente autoriza expresamente a Healthatom a realizar transferencias internacionales de los datos exclusivamente para las finalidades acordadas en el presente Acuerdo. Dichas transferencias deberán realizarse solo a países que cuenten con un adecuado nivel de protección, o bien, sustentarse en la adopción de medidas adicionales de protección (como cláusulas estándares contractuales o mecanismos similares).

V. Vulneraciones de seguridad

En caso de que ocurra un incidente que pueda implicar la vulneración de la seguridad de los Datos, el Encargado notificará oportunamente este hecho al Responsable.

En todo caso, el Encargado implementará y mantendrá un proceso documentado de gestión de incidentes de seguridad que, al menos, incluya identificación, fecha de detección, categorización, priorización, escalado, investigación y diagnóstico, resolución y recuperación y cierre. El Encargado cooperará con el Responsable en la investigación y gestión del incidente y, desde que tenga conocimiento del incidente, adoptará las medidas necesarias para poner remedio a la violación de la seguridad de los Datos.

VI. Otras disposiciones

El Acuerdo mantendrá plena vigencia y aplicación en todo aquello que no sea expresamente modificado por el presente DPA. En caso de discrepancia entre el Acuerdo y el DPA, prevalecerá lo establecido en el DPA.

Anexo 1: Al Acuerdo de Procesamiento de Datos

Medidas Técnicas y Organizativas para Garantizar la Seguridad de los Datos

Healthatom cuenta con las siguientes medidas técnicas y organizativas para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas:

1. Plan de respuesta a incidentes (IRP)

Healthatom ha implementado un plan que describe los lineamientos generales para responder a los incidentes de seguridad de la información. Aquel plan define las funciones y responsabilidades de los actores en Healthatom, la caracterización de los incidentes, las relaciones con otras políticas y procedimientos, y los requisitos de notificación. El objetivo del IRP es detectar y reaccionar ante incidentes de seguridad informática, determinar su alcance y riesgo, responder adecuadamente al incidente, comunicar los resultados y el riesgo a todas las partes interesadas, y reducir la probabilidad de que el incidente vuelva a producirse.

El IRP depende del área de Infraestructura y Operaciones (I&O), que, en conjunto con el área de Desarrollo de Software (SDD), constituyen el sistema de información de Healthatom.

El IRP comprende las etapas de preparación, detección, contención, investigación, remediación y recuperación, todas las cuales exigen la confección de evidencia y documentación asociada a un incidente.

A mayor abundamiento, el IRP instruye la capacitación continua de los trabajadores de Healthatom, y establece una serie de acciones concretas frente a la materialización de un incidente, como planes de comunicación, notificaciones, escalamientos y gestión legal. Cada incidente se registra en un libro de registro que incluye la siguiente información:

2. Medidas para restaurar la disponibilidad y el acceso a los Datos de forma rápida en caso de incidente físico o técnico

Healthatom cuenta con dos planes principales para estos efectos:

  1. Plan de recuperación de desastres

La infraestructura se mantiene como código utilizando Terraform, que permite un despliegue rápido y fiable de toda la infraestructura en caso de emergencia. Cada uno de los servicios, API, aplicaciones y sus sistemas subyacentes se mantienen en código versionado, lo que permite el redespliegue en un nuevo hardware en caso de emergencia.

Además, se utilizan múltiples sistemas de redundancia de AWS:

  1. Clústeres de AWS RDS con múltiples zonas de disponibilidad, capacidades de conmutación por error y recuperación de datos en un momento dado (1 día).
  2. Contenedores de aplicaciones de AWS ECS con autoescalado bajo demanda.
  3. Buckets de AWS S3 con múltiples zonas de disponibilidad y versionado de archivos.

Las copias de seguridad diarias de las bases de datos MySQL, independientes del proveedor y del Cliente, se crean y almacenan en S3, lo que permite cargar las copias de seguridad en cualquier servidor con capacidad MySQL si es necesario.

  1. Plan de funcionamiento en modo de emergencia

En este modo se permite al Cliente extraer los datos operativos de dos maneras:

  1. Informes descargables desde la plataforma.
  2. A través de la interfaz de programación de aplicaciones (API) de la plataforma.

Se le recomienda a los Clientes que creen procesos de respaldo que les permitan continuar con la operación en caso de imposibilidad de acceder a la Plataforma, principalmente en caso de cortes de red/energía.

Cuando el problema no está directamente relacionado con la capacidad de los Clientes para llegar a la Plataforma, Healthatom proporciona acceso a la información, ya sea a través de informes o de un entorno de acceso limitado/solo lectura.

3. Medidas para garantizar la seguridad física de los lugares en los que se tratan los Datos.

No hay servidores locales en las instalaciones de Healthatom. No obstante, el acceso no autorizado a las instalaciones conlleva el riesgo de violación de los Datos mediante el posible robo de los ordenadores y dispositivos personales de los trabajadores. Para hacer frente a estos riesgos, el acceso a las instalaciones de Healthatom está limitado a los trabajadores que llevan una tarjeta de acceso emitida por la empresa o a través de un escáner de huellas dactilares. Además, hay cámaras de seguridad instaladas en toda la oficina y un sistema de alarma que se activa todos los días después de las horas de trabajo. También la puerta principal y las puertas de los lugares donde se almacena información sensible se cierran con llave después de las horas de trabajo y sólo pueden abrirse con la llave correspondiente.

Además, el uso de una plataforma de directorio en la nube permite bloquear a distancia el acceso y eliminar la información almacenada en los ordenadores de Healthatom, en caso de que alguno de ellos sea robado o se pierda.

El plan de seguridad de las instalaciones del proveedor de servicios web se describe en https://aws.amazon.com/compliance/data-center/controls/.

Dado que la mayoría de los trabajadores de Healthatom trabajan a distancia desde sus casas, mediante el uso de la plataforma de directorio en la nube se han tomado varias medidas para mitigar el riesgo de acceso no autorizado a los datos, tales como:

4. Medidas para garantizar la configuración del sistema, en especial la configuración por defecto/ minimización de Datos

La carga de Datos en la Plataforma es de responsabilidad exclusiva del Cliente. La responsabilidad de los ejecutivos de cuenta y de soporte de Healthatom se limita a guiar a los Clientes a lo largo de su integración con la Plataforma, pero sin tomar parte en la configuración de esta ni en la ingesta de los Datos. Se ha incorporado una función de carga masiva que permite a los Clientes cargar y actualizar las listas de Pacientes, las tablas de tarifas y las notas de tratamiento.

Se han creado perfiles de usuario específicos para limitar el acceso a la cantidad mínima de Datos necesarios para realizar funciones específicas, según los usuarios que efectivamente correspondan. Los perfiles de usuario son asignados exclusivamente por el Jefe de Recursos Humanos de Healthatom en el momento de la contratación de nuevos empleados. Solo a determinados usuarios se les asignan todos los permisos, a saber, al CEO, CTO, COO y al Jefe de DevOps.

5. Medidas para garantizar la responsabilidad proactiva.

Healthatom cuenta con un Delegado de Protección de Datos o DPO, quien asesora a Healthatom en el cumplimiento de las normas legales relacionadas con privacidad y la protección de datos personales.

Se realizan capacitaciones continuas a los trabajadores de Healthatom destinadas a dotarlos de herramientas y habilidades necesarias para identificar los riesgos de protección de datos y seguridad de la información, y adoptar medidas para minimizarlos o prevenirlos.

6. Medidas para garantizar una retención limitada de los Datos

Healthatom ha definido que solo se almacenarán los datos mientras el Acuerdo se encuentre vigente, y hasta por un máximo de 12 semanas desde la terminación de aquel. Adicionalmente, y solo en caso de que la ley lo exija de acuerdo a la naturaleza de los datos tratados, se permite el almacenamiento por un período mayor (por ejemplo, en el caso de las fichas clínicas).

Además, al finalizar la relación laboral de cualquier trabajador de Healthatom, cualquier dato almacenado en el portátil de Healthatom que se le haya asignado se elimina de forma remota y permanente, utilizando la plataforma de directorio en la nube. No se puede almacenar información en otros formatos de medios, ya que el almacenamiento masivo extraíble está restringido.

Cuando un trabajador deja de trabajar, toda la información almacenada en el ordenador de Healthatom se borra por completo y el dispositivo se prepara para su reutilización.

7. Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento/ Medidas para la protección de los Datos durante la transmisión

Todas las conexiones a la Plataforma utilizan Transport Layer Security 1.2 (TLS 1.2). Esto significa que los datos en tránsito están encriptados y no pueden ser accedidos por terceros. En reposo, los Datos, ya sea en los clústeres de la base de datos o en los cubos de archivos, también están cifrados, utilizando el algoritmo de cifrado AES-256.

8. Medidas para la protección de los Datos durante el almacenamiento

Cada Cliente tiene su propia base de datos en clústeres compartidos de AWS RDS Aurora. Cada clúster se compone de una instancia escritora y otra lectora, y cada instancia tiene varias zonas de disponibilidad (AZ). Esto permite una rápida conmutación por error y recuperación en caso de fallo de la instancia (menos de un minuto para una conmutación por error de la instancia completa).

Las copias de seguridad de la base de datos del Cliente se crean diariamente a partir de las instancias de lectura, mediante un proceso paralelo y totalmente automatizado. Cada copia de seguridad es un volcado de MySQL que puede cargarse en cualquier instancia de MySQL. Las copias de seguridad se almacenan en un cubo de AWS S3 cifrado, privado y multi AZ durante 90 días, después de lo cual se eliminan para siempre utilizando una regla de ciclo de vida. El proceso de copia de seguridad comprueba la consistencia de cada volcado antes de subirlo a S3, y para comprobar aún más la integridad, los volcados se cargan periódicamente en una instancia de base de datos de prueba.

Además de las copias de seguridad de las bases de datos individuales, se crean diariamente instantáneas de clústeres de bases de datos completas que se almacenan durante un día. Esto permite recuperar completamente un clúster defectuoso en caso de que todos los demás métodos de respaldo no estén disponibles. Por último, las imágenes y los documentos de los clientes se almacenan en un bucket de AWS S3 cifrado, privado y con varias zonas de acceso, con reglas de versionado y ciclo de vida habilitadas.

9. Medidas para la identificación y autorización del usuario

Solo los usuarios autorizados por el usuario administrador tienen permisos para acceder a la Plataforma. Asimismo, se encuentra prohibido el uso de usuarios genéricos que permitan a más de una persona natural acceder a la misma cuenta de usuario sin trazabilidad de quién ingresó y qué interacciones hizo.

Se han creado cuentas específicas para cada usuario en todas las plataformas utilizadas en Healthatom. Además, se ha implementado una plataforma de directorio en la nube (Jumpcloud), que proporciona a los usuarios una identidad para acceder a todos sus recursos: dispositivos Windows, Mac y Linux, así como aplicaciones e infraestructura. Jumpcloud funciona como un servicio de tolerancia cero o zero trust, por lo que ayuda a Healthatom a reforzar todas las medidas de seguridad ya implementadas.

Toda la actividad de los trabajadores de Healthatom en las Plataforma es individualmente identificada y sus acciones requieren de un registro de actividades.

10. Medidas de gobernanza y gestión de la informática y la seguridad informática internas

Se realiza una vigilancia continua de posibles actividades maliciosas procedentes de fuentes externas en las bases de datos de los Clientes.

Se hacen pruebas de estrés trimestrales, llevadas a cabo por una empresa consultora de ciberseguridad externa, para identificar vulnerabilidades y recomendar ajustes y actualizaciones del sistema.

Existe un monitoreo en tiempo real de las acciones realizadas por los usuarios dentro de las plataformas de los Clientes, levantando alertas automáticas frente a actividades que incluyen, entre otras, las siguientes:

También existe un monitoreo en tiempo real y asignación de permisos para las acciones permitidas en los dispositivos informáticos de Healthatom, a través de la plataforma de directorio en la nube.

Healthatom ha designado a un gerente de datos y seguridad de la información.

Anexo 2: Al Acuerdo de Procesamiento de Datos

Cláusulas Contractuales Tipo para la Transferencia de Datos Personales a Terceros Países de Conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

Para todos los efectos de este instrumento, a los Clientes y Usuarios se les llamará indistintamente el “Exportador”, y a Healthatom el “Importador”. El Exportador y el Importador en adelante serán referidos conjuntamente como las “Partes”.

En caso de que el Exportador sea residente de algún país de la Unión Europea, el presente Anexo II regirá la transferencia de datos personales entre las Partes.

1. Finalidad y ámbito de aplicación
  1. La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.
  2. Las Partes han pactado el siguiente Anexo II.
  3. El presente Anexo II se aplica a la transferencia de datos personales especificada en el Apéndice.
  4. El Apéndice forma parte del Anexo II.
2. Efecto e invariabilidad de las cláusulas
  1. El presente Anexo II establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del Apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente Anexo II ni perjudiquen los derechos o libertades fundamentales de los interesados.
  2. El presente Anexo II se entiende sin perjuicio de las obligaciones a las que esté sujeto el Exportador en virtud del Reglamento (UE) 2016/679.
3. Terceros beneficiarios
  1. Los interesados podrán invocar, como terceros beneficiarios, el presente Anexo II contra el Exportador y/o el Importador y exigirles su cumplimiento, con las excepciones siguientes.
    1. Cláusulas 1, 2, 3, 6 y 7.
    2. Cláusula 7: cláusula 7.1, letra b), y cláusula 7.9, letras a), c), d) y e).
    3. Cláusula 8: letras a), c), d) y e).
    4. Cláusula 11: letras a), d) y f).
    5. Cláusula 12.
    6. Cláusula 14.1, letras c), d) y e).
    7. Cláusula 15, letra e).
    8. Cláusula 17: letras a) y b).
  2. Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.
4. Interpretación
  1. Cuando en el presente Anexo II se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.
  2. El presente Anexo II deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
  3. El presente Anexo II no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.
5. Jerarquía

En caso de contradicción entre el presente Anexo II y las disposiciones de acuerdos conexos entre las Partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente Anexo II, prevalecerá el presente Anexo II.

6. Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el Apéndice.

7. Garantías en materia de protección de datos

El Exportador garantiza que ha hecho esfuerzos razonables para determinar que el Importador puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente Anexo II.

7.1 Instrucciones
  1. El Importador solo tratará los datos personales siguiendo instrucciones documentadas del Exportador. El Exportador podrá dar dichas instrucciones durante todo el período de vigencia del contrato.
  2. El Importador informará inmediatamente al Exportador en caso de que no pueda seguir dichas instrucciones.
7.2 Limitación de la finalidad

El Importador tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el Apéndice, salvo cuando siga instrucciones adicionales del Exportador.

7.3 Transparencia

Previa solicitud, el Exportador pondrá gratuitamente a disposición del interesado una copia del presente Anexo II, incluido el Apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el Anexo I y datos personales, el Exportador podrá expurgar el texto del Apéndice del presente Anexo II antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del Apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al Exportador.

7.4 Exactitud

Si el Importador tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al Exportador sin dilación indebida. En este caso, el Importador colaborará con el Exportador para suprimir o rectificar los datos.

7.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del Importador solo se realizará durante el período especificado en el Apéndice. Una vez se hayan prestado los servicios de tratamiento, el Importador suprimirá, a petición del Exportador, todos los datos personales tratados por cuenta del Exportador y acreditará al Exportador que lo ha hecho, o devolverá al Exportador todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el Importador seguirá garantizando el cumplimiento con el presente Anexo II. Si el Derecho del país aplicable al Importador prohíbe la devolución o la destrucción de los datos personales, el Importador se compromete a seguir garantizando el cumplimiento del presente Anexo II y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 13 y, en particular, de la obligación que esta impone al Importador de informar al Exportador durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 13, letra a).

7.6 Seguridad del tratamiento
  1. El Importador y, durante la transferencia, también el Exportador aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del Exportador. Al cumplir las obligaciones que le impone el presente párrafo, el Importador aplicará, al menos, las medidas técnicas y organizativas que figuran en el Anexo I. El Importador llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
  2. El Importador solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  3. En caso de violación de la seguridad de datos personales tratados por el Importador en virtud del presente Anexo II, el Importador adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El Importador también lo notificará al Exportador sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
  4. El Importador deberá colaborar con el Exportador y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Importador.
7.7 Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el Importador aplicará las restricciones específicas y/o las garantías adicionales descritas en el Apéndice.

7.8 Transferencias ulteriores

El Importador solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del Exportador. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea1 (en el mismo país que el Importador o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente Anexo II o consiente a someterse a este, con elección del módulo correspondiente, o si:

  1. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
  2. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;
  3. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o
  4. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el Importador aporte las demás garantías previstas en el presente Anexo II y, en particular, la limitación de la finalidad.

7.9 Documentación y cumplimiento
  1. El Importador resolverá con presteza y de forma adecuada las consultas del Exportador relacionadas 7con el tratamiento con arreglo al presente Anexo II.
  2. Las partes deberán poder demostrar el cumplimiento del presente Anexo II. En particular, el Importador conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del Exportador.
  3. El Importador pondrá a disposición del Exportador toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente Anexo II y, a instancia del Exportador, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente Anexo II, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el Exportador podrá tener en cuenta las certificaciones pertinentes que obren en poder del Importador.
  4. El Exportador podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del Importador y, cuando proceda, realizarse con un preaviso razonable.
  5. Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.
8. Recurso a subencargados
  1. El Importador cuenta con una autorización general del Exportador para contratar a subencargados que figuren en una lista disponible en https://www.healthatom.com/GDPR/lista-subprocesadores. El Importador proporcionará al Exportador la información necesaria para que este pueda ejercer su derecho a formular objeciones y consultas.
  2. Cuando el Importador recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del Exportador), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al Importador en virtud del presente Anexo II, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. Las Partes convienen que, al cumplir el presente Anexo II, el Importador también da cumplimiento a las obligaciones que le atribuye la cláusula 7.8. El Importador se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente Anexo II.
  3. El Importador proporcionará al Exportador, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el Importador podrá expurgar el texto del contrato antes de compartir la copia.
  4. El Importador seguirá siendo plenamente responsable ante el Exportador del cumplimiento de las obligaciones que imponga al subencargado su contrato con el Importador. El Importador notificará al Exportador los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.
  5. El Importador pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el Importador desaparezca de facto, cese de existir jurídicamente o sea insolvente, el Exportador tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
9. Derechos del interesado
  1. El Importador notificará con presteza al Exportador las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el Exportador le haya autorizado a hacerlo.
  2. El Importador ayudará al Exportador a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el Anexo I medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
  3. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el Importador seguirá las instrucciones del Exportador.
10. Reparación
  1. El Importador informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.
  2. En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente Anexo II, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.
  3. El Importador se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:
    1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 12;
    2. ejercitar una acción judicial en el sentido de la cláusula 17.
  4. Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
  5. El Importador acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.
  6. El Importador acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.
11. Responsabilidad
  1. Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente Anexo II.
  2. El Importador será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el Importador o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente Anexo II.
  3. A pesar de lo dispuesto en la letra b), el Exportador será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el Exportador o el Importador (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente Anexo II. Lo anterior se entiende sin perjuicio de la responsabilidad del Exportador y, cuando el Exportador sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.
  4. Las partes acuerdan que, si el Exportador es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el Importador (o su subencargado), estará legitimado para exigir al Importador la parte de la indemnización que sea responsabilidad del importador de los datos.
  5. Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente Anexo II, todas las partes responsables serán responsables solidariamente.
  6. Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
  7. El Importador no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
12. Supervisión
  1. La autoridad de control responsable de garantizar que el Exportador cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el Apéndice, actuará como autoridad de control competente.
  2. El Importador da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente Anexo II. En particular, el Importador se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.
13. Derecho y prácticas del país que afectan al cumplimiento de las cláusulas.
  1. Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el Importador, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas impidan al Importador cumplir las obligaciones que le atribuye el presente Anexo II. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente Anexo II el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
  2. Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:
    1. las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables2;
    3. las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente Anexo II, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.
  3. El Importador asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al Exportador la información pertinente y se compromete a seguir colaborando con el Exportador para garantizar el cumplimiento del presente Anexo II.
  4. Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.
  5. El Importador se compromete a notificar con presteza al Exportador si, tras haberse vinculado por el presente Anexo II y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).
  6. De realizarse la notificación a que se refiere la letra e) o si el Exportador tiene motivos para creer que el Importador ya no puede cumplir las obligaciones que le atribuye el presente Anexo II, el Exportador determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el Exportador y/o el Importador para poner remedio a la situación. El Exportador suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el Exportador estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente Anexo II. Si el contrato tiene más de dos partes contratantes, el Exportador solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 15, letras d) y e).
14. Obligaciones del Importador en caso de acceso por parte de las autoridades públicas
14.1 Notificación.
  1. El Importador se compromete a notificar con presteza al Exportador y, cuando sea posible, al interesado (de ser necesario, con la ayuda del Exportador) si:
    1. recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente Anexo II presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o
    2. tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente Anexo II en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el Importador.
  2. Si se prohíbe al Importador enviar la notificación al Exportador y/o al interesado en virtud del Derecho del país de destino, el Importador se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El Importador se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el Exportador.
  3. En la medida en que lo permita el Derecho del país de destino, el Importador se compromete a proporcionar al Exportador, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).
  4. El Importador se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.
  5. Las letras a) a c) se entenderán sin perjuicio de la obligación del Importador, contemplada en la cláusula 13, letra e), y en la cláusula 15, de informar con presteza al Exportador cuando no pueda dar cumplimiento al presente Anexo II.
14.2 Control de la legalidad y minimización de datos
  1. El Importador se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El Importador agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el Importador instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 13, letra e), atribuye al Importador.
  2. El Importador se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del Exportador en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.
  3. El Importador se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.
15. Incumplimiento de las cláusulas y resolución del contrato
  1. El Importador informará con presteza al Exportador en caso de que no pueda dar cumplimiento al presente Anexo II por cualquier motivo.
  2. En caso de que el Importador incumpla las obligaciones que le atribuye el presente Anexo II, el Exportador suspenderá la transferencia de datos personales al Importador hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 13, letra f).
  3. El Exportador estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente Anexo II cuando:
    1. el Exportador haya suspendido la transferencia de datos personales al Importador con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente Anexo II en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
    2. el Importador vulnere de manera sustancial o persistente el presente Anexo II; o
    3. el Importador incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente Anexo II.
    En este supuesto, informará a la autoridad de supervisión competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el Exportador solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.
  4. Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del Exportador, devolverse inmediatamente al Exportador o destruirse en su totalidad. Lo mismo se aplicará a las copias de los datos. El Importador acreditará la destrucción de los datos al Exportador. Hasta que se destruyan o devuelvan los datos, el Importador seguirá garantizando el cumplimiento con el presente Anexo II. Si el Derecho del país aplicable al Importador prohíbe la devolución o la destrucción de los datos personales transferidos, el Importador se compromete a seguir garantizando el cumplimiento del presente Anexo II y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.
  5. Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente Anexo II si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente Anexo II; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
16. Derecho aplicable

El presente Anexo se regirá por el Derecho del Estado miembro de la Unión Europea en que esté establecido el Exportador. Cuando dicho Derecho no admita la existencia de derechos de los terceros beneficiarios, se regirá por el Derecho de otro Estado miembro de la Unión Europea que sí la admita. Las partes acuerdan que sea el Derecho de España.

17. Elección del foro y jurisdicción
  1. Cualquier controversia derivada del presente Anexo II será resuelta judicialmente en un Estado miembro de la Unión Europea.
  2. Las partes acuerdan que sean los órganos jurisdiccionales de España.
  3. Los interesados también podrán ejercer acciones judiciales contra el Exportador y/o el Importador en el Estado miembro en el que el interesado tenga su residencia habitual.
  4. Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

Apéndice

A. Lista de partes
  1. Exportador:
    • Nombre: Cliente
    • Dirección: Según lo descrito en formulario de inscripción.
    • Nombre, cargo y datos de contacto de la persona de contacto: Según lo descrito en formulario de inscripción.
    • Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: (i) realizar una adecuada prestación de los servicios contratados por el Prestador (ii) dar cumplimiento a las obligaciones legales; (iii) realizar todas las gestiones necesarias para confirmar y actualizar los datos.
    • Función: Responsable.
  1. Importador:
    • Nombre: Engenis SpA.
    • Dirección: Badajoz 45, piso 16, comuna de Las Condes, Región Metropolitana, Santiago, Chile.
    • Nombre, cargo y datos de contacto de la persona de contacto: Jaime Urzúa, Data Protection Officer, privacy@healthatom.com.
    • Actividades relacionadas con los datos transferidos en virtud del Anexo II: (i) realizar una adecuada prestación de los servicios contratados por el Prestador (ii) dar cumplimiento a las obligaciones legales; (iii) realizar todas las gestiones necesarias para confirmar y actualizar los datos.
    • Función: Encargado.
B. Descripción de la Transferencia
  1. Categorías de interesados cuyos datos personales se transfieren.

    2. Los datos transferidos conciernen a las siguientes categorías de interesados: clientes, empleados y pacientes del Exportador.

  2. Categorías de datos personales transferidos.

    3. Las categorías de datos personales transferidos serán determinadas por el Exportador, pero pueden incluir, entre otros, el nombre, género, origen étnico o racial, dirección, dirección de correo electrónico, número de teléfono, identificador único personal, información de seguros de salud, información clínica, importe por cobrar, fecha y hora, dirección IP, ubicación y cualquier otro dato que el importador haya recibido en virtud de este Acuerdo.

  3. Datos sensibles transferidos (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales.

    4. Los datos personales transferidos los determina y controla el Exportador y pueden incluir datos sensibles como información de seguros de salud, información clínica, el género, origen étnico o racial, entre otros. Las medidas de seguridad técnicas y organizativas se describen en el Anexo I.

  4. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma periódica).

    5. La transferencia de datos se realiza de forma periódica, según sea necesario para realizar los Servicios.

  5. Naturaleza del tratamiento.

    6. La transferencia de datos se realiza como parte de la ejecución de un contrato en que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

  6. Finalidad(es) de la transferencia y posterior tratamiento de los datos.

    7. (i) Realizar una adecuada prestación de los servicios contratados por el Prestador (ii) dar cumplimiento a las obligaciones legales; (iii) realizar todas las gestiones necesarias para confirmar y actualizar los datos.

  7. El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo.

    8. El Importador conservará los datos personales por todo el plazo de vigencia de los Servicios, al término de los cuales dará la opción al Exportador de devolverlos o destruirlos.

  8. En caso de transferencia a subencargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento.

    9. El detalle del objeto y naturaleza del tratamiento con cada subencargado está disponible a solicitud del cliente. Las transferencias se realizan de forma periódica, según sea necesario para realizar los Servicios.

C. Autoridad de Control Competente

Agencia Española de Protección de Datos.