Acuerdo de Tratamiento de Datos Personales

1. Ámbito de aplicación

El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el "Acuerdo") regula el tratamiento de datos personales a realizar por Healthium - Healthcare Software Solutions, S.A. (en adelante, el "Subcontratista") en nombre y por cuenta de la entidad, física o jurídica, que se suscriba al servicio Nutrium, a través del sitio web Nutrium, con la finalidad de prestar servicios de nutrición clínica y servicios relacionados con la nutrición (en adelante, el "Responsable del Tratamiento"), denominadas conjuntamente las "Partes". En consecuencia, considerando que:

1. Las Partes han celebrado un contrato para la prestación de servicios, en términos mejor definidos en Términos y Condiciones, por parte del Subcontratista al Responsable del Tratamiento;
2. La prestación de servicios por parte del Subcontratista implica el tratamiento de datos personales por éste en nombre y por cuenta del Responsable del Tratamiento;
3. Las Partes pretenden, mediante el presente documento, regular detalladamente las obligaciones del Subcontratista, como entidad subcontratista del Responsable del Tratamiento, para el tratamiento de datos de carácter personal.

Las Partes, plenamente conscientes de la significativa importancia del pleno cumplimiento de todos los requisitos relativos a la protección de datos de carácter personal, aceptan libre y recíprocamente el presente Acuerdo en los siguientes términos.

2. Definiciones e Interpretación

Las expresiones "responsable", "subcontratista", "datos personales" y "tratamiento", así como cualesquiera otras expresiones y términos relacionados, se interpretarán de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE - Reglamento General de Protección de Datos ("RGPD"), y la Ley nº 58/2019, de 8 de agosto. º 58/2019, de 8 de agosto, por la que se garantiza la implementación en el ordenamiento jurídico nacional del RGPD, complementado por la legislación nacional o europea, las interpretaciones y directrices emitidas por las autoridades europeas y nacionales, las cláusulas modelo aprobadas por la Comisión Europea o las autoridades de control, así como cualquier jurisprudencia relevante (en conjunto, el "Régimen de Protección de Datos").

1. Las Partes acuerdan que los términos del RGPD se aplicarán al tratamiento de datos personales en el contexto de la relación entre las Partes a partir de la fecha de entrada en vigor del contrato de servicios celebrado entre las Partes y durante toda su duración.
2. Los encabezamientos de los términos del presente Acuerdo se incluyen por razones de mera conveniencia y no constituyen soporte para la interpretación o integración del mismo.
3. Las expresiones definidas anteriormente en singular podrán utilizarse en plural, y viceversa, con el correspondiente cambio de significado.
4. En función de la evolución legal, jurisprudencia y recomendaciones emitidas por las autoridades de control o cambios en el modelo de negocio, entre otros, el Subcontratista podrá modificar el presente Acuerdo, asegurándose en tales casos de que dichos cambios sean debidamente publicados en la página web de Nutrium y comunicados por correo electrónico al Responsable del Tratamiento a la dirección indicada al registrarse en la plataforma.
5. El presente Acuerdo se compone del texto del presente documento y de los siguientes Anexos, todos los cuales han sido debidamente aceptados por los representantes de ambas Partes y pasan a formar parte integrante del mismo: Anexo I - Condiciones de Tratamiento; Anexo II - Medidas Técnicas y Organizativas; Anexo III - Lista de Subencargados del Tratamiento;
6. Salvo que el contexto indique lo contrario, toda referencia hecha en el presente Acuerdo a una disposición legal o contractual incluye las modificaciones a las que ha sido y/o será sometida.
7. Si alguna de las disposiciones del presente Acuerdo fuera declarada nula o, de algún modo, inválida, ineficaz o inaplicable por un órgano competente a tal efecto, dicha nulidad, invalidez, ineficacia o inaplicabilidad no afectará a la validez de las restantes disposiciones del Acuerdo, y las Partes se comprometen a acordar de buena fe una disposición que la sustituya y que, en la medida de lo posible, produzca efectos similares.

3. Finalidad

El presente Acuerdo tiene por objeto regular las obligaciones de ambas Partes en relación con el tratamiento de datos personales, tal y como se describe en el Anexo I (Condiciones de Tratamiento), por parte del Subcontratista en nombre y por cuenta del Responsable del Tratamiento.

4. Vinculación a las presentes disposiciones

En caso de incoherencia o conflicto entre el presente Acuerdo de Tratamiento de Datos y cualesquiera otros acuerdos o cláusulas, con independencia de que hayan sido acordados previamente entre las Partes, el contenido y las disposiciones del presente Acuerdo de Tratamiento de Datos prevalecerán y regirán las relaciones entre las Partes en lo que respecta al tratamiento de datos personales en el ámbito de los servicios prestados por Healthium.

5. Obligaciones de las Partes

1. El Responsable del Tratamiento asume la plena responsabilidad del cumplimiento de las disposiciones establecidas en el RGPD y demás legislación aplicable en materia de protección de datos, y se compromete a garantizar la licitud, transparencia e integridad del tratamiento de los datos personales.
2. El Responsable del Tratamiento debe facilitar al Subcontratista la información necesaria para que éste pueda tratar los datos por su cuenta y en su nombre.
3. Los datos personales a los que tenga acceso el Subcontratista o que le hayan sido transmitidos por el Responsable del Tratamiento se tratarán de conformidad con los términos del presente Acuerdo, así como en estricto cumplimiento de las instrucciones documentadas del Responsable del Tratamiento, identificadas en el anexo II, o transmitidas por el Responsable del Tratamiento durante la vigencia del Acuerdo, incluso en lo que respecta a las transferencias de datos a terceros países u organizaciones internacionales, salvo que el Subcontratista esté obligado a ello en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto (en cuyo caso informará al Responsable del Tratamiento de este requisito legal antes del inicio de la transferencia).
4. El Subcontratista se compromete, en particular, a no copiar, reproducir, adaptar, modificar, alterar, suprimir, destruir, difundir, transmitir, comunicar o de cualquier otra forma poner a disposición de terceros los datos personales a los que tenga acceso o que le hayan sido transmitidos por el Responsable del Tratamiento, sin perjuicio de las acciones y transmisiones que resulten de la propia naturaleza de la prestación del servicio.
5. Sin perjuicio de las demás obligaciones previstas en el presente Acuerdo, el Subcontratista se compromete a cumplir las disposiciones de la legislación aplicable en materia de tratamiento de datos personales y, en particular, a:

1. Teniendo en cuenta la naturaleza del tratamiento, en la medida de lo posible y dentro de los límites legalmente exigibles al Subcontratista, y sin perjuicio del cobro de cantidades adicionales, asistir al Responsable del Tratamiento para que pueda cumplir con su obligación de responder y poner a disposición de los interesados información sobre sus datos personales y, en general, facilitar a los interesados el ejercicio de los derechos que les asisten en virtud del Régimen de Protección de Datos;
2. Garantizar que las personas autorizadas a tratar datos personales han asumido un compromiso de confidencialidad o están sujetas a obligaciones legales de confidencialidad adecuadas;
3. Teniendo en cuenta la naturaleza del tratamiento, en la medida de lo posible y dentro de los límites legalmente exigibles al Subcontratista, y sin perjuicio del cobro de cantidades adicionales, prestar al Responsable del Tratamiento la colaboración que éste requiera para aclarar las cuestiones relativas al tratamiento de datos de carácter personal realizado en virtud del presente Acuerdo y mantener informado al Responsable del Tratamiento en relación con el tratamiento de datos de carácter personal, comprometiéndose a comunicar inmediatamente cualquier situación que pueda afectar al tratamiento de los datos de que se trate o que, de cualquier modo, pueda dar lugar al incumplimiento de las disposiciones legales en materia de protección de datos de carácter personal;
4. Informar al Responsable del Tratamiento, en el plazo de 72 horas, de cualquier consulta o reclamación que pueda afectarle, procedente de cualquier autoridad de control, garantizando su cooperación con dicha autoridad;
5. Teniendo en cuenta la naturaleza del tratamiento, en la medida de lo posible y dentro de los límites legalmente exigibles al Subcontratante, y sin perjuicio del cobro de cantidades adicionales, ayudar al Responsable del tratamiento a garantizar las obligaciones relativas a la notificación de violaciones de datos personales, en particular, notificando al Responsable del Tratamiento (y en todo caso en un plazo no superior a 72 horas) cualquier violación de datos personales que se produzca con impacto en datos personales, y cooperando, en la medida de lo posible y dentro de los límites legalmente exigibles al Subcontratante, con el Responsable del Tratamiento en la adopción de medidas de respuesta al incidente, en la investigación del mismo y en la preparación de las notificaciones que resulten necesarias en los términos previstos en la ley;
6. Colaborar con el Responsable del Tratamiento, teniendo en cuenta la naturaleza del tratamiento y en la medida de lo posible, mediante la aplicación de las medidas técnicas y organizativas adecuadas;
7. No comunicar los datos personales a terceros y/o proveedores de servicios no autorizados o indicados por el Responsable del Tratamiento;
8. En función de la elección del Responsable del Tratamiento, suprimir o devolver los datos personales a la finalización del Contrato, eliminando las copias existentes, salvo que la conservación de los datos sea obligatoria por ley;
9. Poner a disposición del Responsable del Tratamiento, en la medida de lo posible y dentro de los límites legalmente exigidos al Subcontratista, la información necesaria para demostrar el cumplimiento de las obligaciones derivadas de la ley y del presente Acuerdo;
10. Mantener registros de las actividades de tratamiento de datos llevadas a cabo en nombre del Responsable del Tratamiento en virtud del presente Acuerdo, de conformidad con los requisitos legales;
11. En su caso, informar al Responsable del Tratamiento del nombramiento de un delegado de protección de datos;
12. Cumplir los términos y condiciones contenidos en los instrumentos de legalización relativos a los datos tratados (si procede); y
13. Cumplir todas las demás normas legales relativas al registro, transmisión o cualquier otra operación de tratamiento de datos personales prevista en el Régimen de Protección de Datos.

6. Registro de Actividades de Tratamiento

El Subcontratista y, en su caso, sus representantes mantendrán, al menos hasta la finalización del presente Acuerdo, un registro de todas las actividades de tratamiento llevadas a cabo en el ámbito del presente Acuerdo, de conformidad con el artículo 30, apartado 2, del RGPD y a efectos del mismo. Este registro de actividades de tratamiento incluirá al menos la siguiente información:

1. El nombre y los datos de contacto del Subcontratista y del Responsable del Tratamiento y, en su caso, de los representantes del Subcontratista y del Responsable del tratamiento y del Delegado de protección de datos;
2. Los tipos de tratamiento de datos efectuados por cuenta del Responsable del Tratamiento;
3. Las categorías de datos tratados;
4. Los tipos de interesados afectados por el tratamiento de datos; y
5. Cuando proceda, las transferencias de datos personales a terceros países u organizaciones internacionales, incluida la identificación de dichos terceros países u organizaciones internacionales y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación que demuestre la existencia de garantías adecuadas.

7. Medidas de seguridad

El Subcontratista se compromete a aplicar las medidas técnicas y organizativas necesarias para proteger los datos personales tratados por cuenta del Responsable del Tratamiento contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizados o cualquier otro tratamiento ilícito de esos mismos datos personales. Estas medidas garantizarán un nivel de seguridad adecuado a los riesgos que presente el tratamiento, a la naturaleza de los datos que deban protegerse y a los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, incluidos, en su caso:

1. La seudonimización y el cifrado de los datos personales;
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento;
3. La capacidad de restablecer la disponibilidad y el acceso a los datos personales en el momento oportuno en caso de incidente físico o técnico; y
4. Un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

8. Confidencialidad

El Subcontratista se compromete a mantener la confidencialidad de todos los datos personales a los que haya tenido acceso o que le hayan sido transmitidos por el Responsable del Tratamiento en relación con la prestación de los servicios acordados con él.

9. Empleados del Subcontratista

El Subcontratista garantiza que sus empleados, independientemente de la naturaleza y validez de su relación con el Subcontratista (incluidos, entre otros, aquellos que cooperen con el Subcontratista sobre la base de contratos de derecho civil, proveedores de servicios, trabajadores, agentes, asistentes, representantes, socios, gerentes, administradores, abogados, trabajadores temporales, proveedores, consultores, auditores y becarios, en lo sucesivo denominados "empleados" o "personal") cumplen con las obligaciones establecidas en el presente Acuerdo.

10. Subencargados del Subcontratista

El Subcontratista, con el fin de mantener su eficacia operativa, establece contratos con otras entidades que pueden tratar y procesar determinados datos personales, identificando una lista de estos Encargados en el Anexo III del presente Acuerdo. Con carácter general, el Responsable autoriza al Subcontratista a subcontratar a las entidades identificadas en el Anexo III para el tratamiento de los datos personales derivados del presente Acuerdo. Siempre que subcontrata a otra entidad, el Subcontratista garantiza que ésta cumplirá lo dispuesto en el Régimen de Protección de Datos y demás legislación aplicable mediante la celebración de un contrato escrito con las entidades que subcontrate, en el que se reflejen las mismas obligaciones de protección de datos establecidas en el presente Acuerdo.

El Subcontratista se compromete a informar al Responsable del Tratamiento de cualquier cambio previsto en el número o la sustitución de los subencargados que utiliza, y el Responsable del Tratamiento podrá oponerse a dichos cambios por escrito. Si el Responsable del Tratamiento se opone a los cambios y no está a favor de los argumentos esgrimidos y decide mantener al Subcontratista en la lista, se le dará la oportunidad de rescindir la suscripción con efecto inmediato, sin perjuicio del pago del importe prorrateado correspondiente al periodo de suscripción ya utilizado.

Si los datos son procesados por el subencargado del Subcontratista fuera de la Unión Europea/Espacio Económico Europeo, los requisitos para las transferencias internacionales de datos establecidos en el RGPD deben cumplirse antes de que comience dicho procesamiento.

La responsabilidad del Subcontratista frente a los subencargados prevista en los párrafos anteriores abarca a todas las entidades que actúen como subencargados en una cadena de subcontratación con el Subcontratista, independientemente de si su vínculo con el Subcontratista es directo o indirecto.

11. Responsabilidad

El Subcontratista será responsable de todos los daños y perjuicios causados al Responsable del Tratamiento que le sean directa y efectivamente imputables como consecuencia del tratamiento por su parte y/o por parte de sus empleados, prestadores de servicios o subcontratistas [de conformidad con la cláusula 8 (Subencargados del Subcontratista)] de datos de carácter personal infringiendo la normativa legal aplicable y/o lo dispuesto en el presente contrato.

12. Notificación de violaciones de datos personales

El Subcontratista está obligado a notificar al Responsable del Tratamiento cualquier violación que potencialmente comprometa la seguridad de los datos de carácter personal que le conciernan, tales como la cesión, acceso, pérdida, alteración o comunicación a terceros accidental, no autorizada o ilícita, que infrinja el presente Acuerdo o el Régimen de Protección de Datos, o cualquier incidente que afecte o pueda afectar, directa o indirectamente, a la confidencialidad, integridad o autenticidad de los datos, tan pronto como sea posible en función de las circunstancias y sin dilaciones indebidas, y en todo caso a más tardar 72 horas después de que el Subcontrante tenga conocimiento del hecho.

La notificación a que se refiere el párrafo anterior deberá incluir toda la información pertinente relativa a los datos personales afectados, a saber:

1. La naturaleza de los datos personales vulnerados, incluidas las categorías y el número de interesados afectados, así como las categorías y el número de registros de datos personales afectados;
2. El nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto donde pueda obtenerse más información;
3. Una descripción de las consecuencias previsibles de la violación de los datos personales; y
4. Las medidas adoptadas o propuestas por el Responsable del Tratamiento para remediar la violación de los datos personales y mitigar sus posibles efectos negativos.

En caso de violación o incidente, el Subcontratista investigará el incidente o la violación de los datos personales, adoptará las medidas adecuadas para garantizar la seguridad de los datos personales y mitigar sus posibles efectos negativos sobre los interesados afectados y evitará cualquier incidente o violación de los datos personales en el futuro.

13. Auditorías

El Subcontratista llevará a cabo auditorías de seguridad de su infraestructura y del entorno informático que utilice para tratar datos personales, como se indica a continuación:

1. Cuando una norma o marco establezca la realización de auditorías, se iniciará una auditoría de dicha norma o marco de control al menos una vez al año.
2. Cada auditoría se llevará a cabo de conformidad con las normas y reglas del organismo regulador o de acreditación para cada norma o marco de control aplicable.
3. Cada auditoría será llevada a cabo por auditores de seguridad externos, cualificados e independientes, a expensas y por selección del Subcontratista.

Cada auditoría dará lugar a la generación de un informe de auditoría, que el Subcontratista pondrá a disposición en su sitio web o en cualquier otro lugar identificado por él. El informe se considerará Información Confidencial de Healthium y revelará claramente cualquier hallazgo material del auditor. El Subcontratista corregirá sin demora cualquier problema planteado en cualquier informe a satisfacción del auditor. Si así lo solicita el Responsable del Tratamiento, el Subcontratista le facilitará cada informe.

Los informes podrán estar sujetos a limitaciones de no divulgación y distribución por parte de Healthium y del auditor.

En la medida en que los requisitos de auditoría del Responsable del Tratamiento en virtud de las respectivas leyes de protección de datos no puedan satisfacerse razonablemente mediante informes de auditoría, documentación o información sobre cumplimiento que el Subcontratista ponga a disposición general de sus clientes, el Subcontratista responderá a las instrucciones adicionales de auditoría del Responsable del Tratamiento. Antes del inicio de una auditoría, el Subcontratista y el Responsable del Tratamiento acordarán mutuamente el alcance, el calendario, la duración, los requisitos de control y prueba y los honorarios de la auditoría, siempre que dicho requisito de acuerdo no permita al encargado del tratamiento retrasar injustificadamente la ejecución de la auditoría. En la medida en que sea necesario para llevar a cabo la auditoría, el Subcontratista pondrá a su disposición los sistemas de tratamiento, las instalaciones y la documentación de apoyo pertinentes para el tratamiento de datos personales por parte del Subcontratista y sus subencargados. Dicha auditoría será llevada a cabo por una empresa de auditoría independiente y acreditada, durante el horario laboral normal, con un preaviso razonable al Responsable del Tratamiento y con sujeción a procedimientos de confidencialidad razonables. El Responsable del Tratamiento será responsable de todos los costes y honorarios relacionados con dicha auditoría, incluidos todos los costes y honorarios razonables por todo el tiempo que el Subcontratista dedique a dicha auditoría, además de los honorarios por los servicios prestados por el Subcontratista. Si el informe de auditoría generado como resultado de la auditoría del Manipulador incluye cualquier hallazgo de incumplimiento material, el Manipulador compartirá dicho informe de auditoría con el Subcontratista y el Subcontratista subsanará sin demora cualquier incumplimiento material.

Nada en esta sección del presente Acuerdo varía o modifica los términos del RGPD o afecta a los derechos de cualquier autoridad supervisora o sujeto de datos en virtud de las respectivas leyes de Protección de Datos.

14. Asociado comercial HIPAA

Si el Responsable del tratamiento es una "entidad cubierta" o un "asociado comercial" e incluye "información sanitaria protegida" en los Datos del cliente o los Datos de servicios profesionales, tal y como se definen estos términos en la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996, en su versión modificada, y en la normativa promulgada en virtud de la misma (conjuntamente, "HIPAA"), la ejecución del contrato con el Responsable del tratamiento incluye la ejecución del Acuerdo de asociado comercial de HIPAA ("BAA").

15. Duración y terminación del acuerdo

El presente Acuerdo permanecerá en vigor mientras se mantenga la relación de servicio entre el Responsable del tratamiento y el Subcontratista.

A la terminación del presente Acuerdo, el Subcontratista se compromete, a elección del Responsable del Tratamiento, a suprimir o devolver al Responsable del Tratamiento todos los soportes que contengan datos de carácter personal que éste le haya facilitado, suprimiendo las copias existentes, salvo en los casos en que la ley exija la conservación de los datos.

16. Comunicación del acuerdo a la Autoridad Supervisora

Se autoriza a las Partes a comunicar el contenido del presente Acuerdo y los elementos relacionados con el mismo a la autoridad de control competente.

17. Ley Aplicable

El presente Acuerdo se regirá por las disposiciones aplicables de la legislación portuguesa.

18. Resolución de Litigios

Todas las cuestiones derivadas del presente Acuerdo serán juzgadas por los tribunales del distrito de Braga, con renuncia expresa a cualquier otra jurisdicción.

19. Medios de comunicación con el Subcontratista

A efectos de las comunicaciones relacionadas con la seguridad y la protección de datos, las Partes determinan que las direcciones que figuran a continuación son suficientes y adecuadas para los fines del Subcontratista, así como las direcciones indicadas por el Responsable del Tratamiento en el momento del registro. Si el Responsable del Tratamiento desea plantear cuestiones relacionadas con la seguridad y la protección de datos al Subcontratista, podrá hacerlo por los siguientes medios:

Pedro Bacelar

Responsable de Protección de Datos

dpo@nutrium.com

o

Rua Andrade Corvo, nº 242, 1º andar, Sala 106

4700-204 Braga

+351 935 455 75

Anexo I

Condiciones de Tratamiento

1. Naturaleza y fines del tratamiento

El Responsable del Tratamiento trata los datos personales de sus clientes para la prestación de asistencia sanitaria y para la gestión de la relación con los clientes y/o los datos personales de sus empleados para la gestión de su relación con ellos.

En virtud del Contrato acordado entre las Partes, el Subcontratista se compromete a prestar al Responsable del Tratamiento los servicios descritos en las Condiciones Generales vigentes y en la Política de Privacidad vigente.

En este contexto y con esta finalidad, el Subcontratista tendrá acceso a los datos personales de los clientes y/o empleados del Responsable del Tratamiento.

2. Duración del tratamiento

La duración del tratamiento dependerá de la duración del mencionado contrato y respetará los periodos de conservación establecidos y divulgados en cada momento por el Responsable del Tratamiento.

3. Tipo de dados tratados

Datos de categoría simple y especial, a saber:

• Datos personales de los clientes: datos generales y demográficos; datos antropométricos; datos socioculturales y económicos y datos de información clínica.
• Datos personales de los empleados: datos generales y demográficos;

4. Categorías especiales de datos

Datos relativos a la salud de la persona.

5. Categorías de interesados

Clientes y/o empleados del Responsable del Tratamiento.

Anexo II

Medidas Técnicas y Organizativas

1. Seguridad del tratamiento

Tal como se describe en el Acuerdo, el Subcontratista aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta las técnicas más avanzadas, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos, de probabilidad y gravedad variables, para los derechos y libertades de los interesados.

2. Requisitos mínimos

De conformidad con el apartado 1 del presente Anexo y con el Anexo I, el encargado del tratamiento deberá cumplir los siguientes requisitos mínimos:

1. Control de Acceso y Autenticación
   • Todo acceso a la información del Responsable del Tratamiento debe ser realizado por usuarios legitimados para ello y estos usuarios deben disponer de identificadores únicos que permitan identificarlos en los sistemas de tratamiento y almacenamiento de la información;
   • La autenticación en los sistemas debe realizarse mediante credenciales basadas en usuario y contraseña, y la contraseña debe ser compleja (combinación de letras, números, caracteres especiales y una longitud mínima de ocho caracteres);
   • Debe adoptarse un periodo máximo de validez de la contraseña no superior a 90 días y el usuario no debe poder utilizar las 5 contraseñas anteriores;
   • Deben adoptarse medidas técnicas de seguridad para proteger las credenciales de acceso, como el bloqueo de la contraseña después de 6 (seis) intentos fallidos consecutivos, seis meses sin que se utilicen las credenciales;
   • Deben existir procedimientos formales para solicitar, asignar, eliminar y aprobar el acceso a la información del Responsable del Tratamiento.
2. Cifrado de Datos y Gestión de Dispositivos
   • Toda la información personal debe almacenarse en soportes (discos duros externos, servidores, memorias USB, etc.) de forma cifrada;
   • Toda la información debe transmitirse utilizando canales de comunicación cifrados (por ejemplo, TLS/SSL, correo electrónico cifrado con claves X509 o PGP);
   • Todos los dispositivos informáticos (servidores y ordenadores personales) deben estar debidamente protegidos contra ataques y programas maliciosos mediante el uso de antivirus y sistemas de detección y prevención de intrusiones;
   • Todos los componentes de los sistemas de información (hardware, firmware y software) deben revisarse para garantizar que se detectan las vulnerabilidades y fallos y, en consecuencia, se actualizan con las últimas actualizaciones disponibles o se instalan medidas para mitigar los fallos encontrados.
3. Capacidad para restablecer la disponibilidad y el acceso a los datos personales en el momento oportuno en caso de incidente físico o técnico
   • La continuidad del servicio prestado al Responsable del Tratamiento debe salvaguardarse mediante el uso de mecanismos de protección contra la destrucción o pérdida accidental;
   • Los mecanismos de salvaguarda de la información (por ejemplo, copias de seguridad) deben cumplir con las buenas prácticas de continuidad de negocio, garantizando que:
     • Se conserve al menos una copia en una ubicación alternativa;
     • Se aplican controles físicos de acceso y protección a los soportes (por ejemplo, tapes) cuando están almacenados o en tránsito;
   • La eficacia de los mecanismos de protección debe comprobarse al menos cada seis meses.
4. Proceso de comprobación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento
   • Deberán realizarse auditorías periódicas para validar el cumplimiento de los requisitos de seguridad y protección de datos contenidos en el presente anexo, al menos con periodicidad anual;
   • Deberá elaborarse un informe en el que se detallen el grado de cumplimiento de los requisitos, las recomendaciones para su cumplimiento y, en última instancia, se pondrá a disposición del Responsable del Tratamiento.

Anexo III

Lista de Subencargados

1. Ámbito de aplicación

Healthium puede contratar y utilizar determinados procesadores de datos de terceros ("Subencargados") para prestar servicios a nuestros clientes. Este apéndice contiene información importante sobre la identidad, ubicación y función de cada Subencargado del Tratamiento.

2. Lista de Subencargados

Estos Subencargados pueden tener acceso a los datos personales proporcionados directamente por nuestros usuarios o a los que nosotros podemos tener acceso para llevar a cabo los servicios contratados. Actualmente utilizamos la siguiente lista de Subencargados del tratamiento para prestar servicios de infraestructura, atención al cliente y plataforma. Tenga en cuenta que no todos los Subencargados se utilizan para prestar todos los servicios que ofrecemos y que algunos solo participan en la prestación de servicios específicos.

Atención al Cliente

Plataformas

Infraestructuras de Servicios Digitales