Por favor, lea este documento en su totalidad, rellene sus datos y los datos de su empresa en la parte inferior de este documento y confirme que está de acuerdo con el Acuerdo de Procesamiento de Datos (DPA) de Veritas Intercontinental. Si tiene alguna pregunta en relación con este APD, envíe un correo electrónico a dpo@veritasint.com

Acuerdo de asociación empresarial en virtud de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA)

El presente Acuerdo de Asociación Empresarial («BAA») se celebra entre usted, XXXXXXXXX, (en lo sucesivo, el «Cliente»), y VERITAS INTERCONTINENTAL SL (en lo sucesivo, el «Asociado Empresarial»).

El Cliente es responsable de garantizar que cualquier requisito adicional establecido en las Leyes Aplicables se incluya en este BAA o se comunique al Asociado Empresarial por escrito, con el fin de garantizar que el Cliente pueda cumplir con sus obligaciones en virtud de las Leyes Aplicables. Para cualquier pregunta relacionada con el presente BAA, envíe un correo electrónico a dpo@veritasint.com

Consideraciones

CONSIDERANDO QUE el Departamento de Salud y Servicios Humanos («HHS») ha promulgado normativas bajo 45

C.F.R. Partes 160-164, aplicando los requisitos de privacidad y seguridad electrónica establecidos en las disposiciones de Simplificación administrativa de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996, Ley Pública 104-191 («HIPAA»), modificada por la Ley de Reinversión y Recuperación de Estados Unidos de 2009 (P.L. 111-5, ARRA) («Ley HITECH»);

CONSIDERANDO QUE el Asociado Empresarial acepta que ciertas disposiciones de la HIPAA han sido modificadas de forma que regulan directamente las obligaciones y actividades del Asociado Empresarial con respecto a la Información de Salud Protegida («PHI»);

CONSIDERANDO QUE la HIPAA establece, entre otras cosas, que el Cliente está autorizado a revelar Información de Salud Protegida (tal y como se define a continuación) al Asociado Empresarial y a permitir que el Asociado Empresarial obtenga y reciba Información de Salud Protegida, siempre que el Cliente obtenga garantías adecuadas en forma de contrato escrito por el que se garantice que el Asociado Empresarial salvaguardará adecuadamente la Información de Salud Protegida; y

CONSIDERANDO QUE el Asociado Empresarial creará, recibirá, mantendrá o transmitirá determinada PHI de conformidad con el presente BAA y el pedido relacionado entre las partes en virtud del cual el Asociado Empresarial prestará servicios al Cliente («Acuerdo»), por lo que es necesario un BAA por escrito que cumpla los requisitos aplicables de la HIPAA, así como con las demás disposiciones que las partes puedan acordar.

POR CONSIGUIENTE, el Cliente y el Asociado Empresarial acuerdan lo siguiente:

1. Definiciones; aplicación.

(a) Los siguientes términos utilizados en este BAA tendrán el mismo significado que los términos que figuran en las normas de la HIPAA: Filtración de datos, Agregación de datos, Conjunto de registros designados, Divulgación, Operaciones de atención médica, Individuo, Mínimo/a necesario/a, Notificación de prácticas de privacidad, Información de salud protegida, Requerido(s) por ley, Secretario, Incidente de seguridad, Subcontratista, Información de salud protegida no segura y Uso.

(b) El presente BAA se aplicará únicamente con respecto a y en la medida en que el Asociado Empresarial cree, reciba, mantenga o transmita PHI para o en nombre del Cliente.

2. Obligaciones y actividades del Asociado Empresarial

(a) El Asociado Empresarial se compromete a no utilizar ni divulgar la Información de Salud Protegida de otra manera que no sea la permitida o requerida por el presente BAA o la permitida o requerida por la ley aplicable. El Asociado Empresarial podrá utilizar la Información de Salud Protegida para denunciar infracciones de la ley a las autoridades federales y estatales correspondientes, de conformidad con el 45 CFR Sección 164.502(j)(1), siempre y cuando el Asociado Empresarial notifique por escrito al Cliente de dicha denuncia tan pronto como se le permita hacerlo en virtud de las leyes aplicables, ya sea por adelantado o después de dicha denuncia.

(b) El Asociado Empresarial se compromete a utilizar las garantías adecuadas para evitar el uso o la divulgación de la Información de Salud Protegida de forma distinta a la prevista en el presente BAA.

(c) El Asociado Empresarial implementará garantías administrativas, físicas y técnicas que protejan adecuadamente la confidencialidad, integridad y disponibilidad de la Información de Salud Protegida electrónica, incluidas todas las garantías exigidas por la Regla de Seguridad y exigidas de otro modo por las leyes aplicables. El Asociado Empresarial reconoce y acepta que los requisitos de las Secciones 164.308, 164.310, 164.312 y 164.316 del 45 CFR se aplican al Asociado Empresarial en su papel de Asociado Empresarial, de la misma manera que dichas secciones se aplican al Cliente. El Asociado Empresarial seguirá principios razonables de seguridad del sistema coherentes con los estándares del sector y cumplirá los requisitos pertinentes de la Ley HITECH relativos a la seguridad de la Información de Salud Protegida.

(d) El Asociado Empresarial se compromete a informar al Cliente de cualquier Filtración de la PHI no segura de la que tenga conocimiento de conformidad con las leyes aplicables. En caso de que se produzca una Filtración de la PHI no segura por parte del Asociado Empresarial o de cualquiera de sus directivos, directores, empleados o subcontratistas, el Asociado Empresarial notificará al Cliente de acuerdo con 45 C.F.R. 164.410 inmediatamente después de dicha Filtración y en un plazo máximo de cinco (5) días laborables tras tener conocimiento de dicha filtración o potencial Filtración de la PHI no segura.

(e) El Asociado Empresarial se compromete a garantizar que cualquier subcontratista, agente y representante que cree, reciba, mantenga o transmita Información de Salud Protegida en nombre del Asociado Empresarial acepte y cumpla con restricciones y condiciones sustancialmente similares que se apliquen a través del presente BAA al Asociado Empresarial con respecto a dicha información. El Asociado Empresarial garantizará que cualquier persona o entidad a la que proporcione Información de Salud Protegida electrónica, acepte e implemente las garantías adecuadas para proteger dicha información. El Asociado Empresarial es responsable de las acciones y omisiones de sus subcontratistas, agentes y representantes en la misma medida en que es responsable de las acciones y omisiones de sus empleados.

(g) El Asociado Empresarial se compromete a proporcionar acceso a la Información de Salud Protegida en un Conjunto de registros designados, en el tiempo y la forma requeridos por la ley, al Cliente o, según lo indique el Cliente, a un Individuo, con el fin de cumplir con los requisitos establecidos en 45 C.F.R. 164.524. El Asociado Empresarial podrá imponer una tarifa razonable basada en los costes por el suministro de copias de la PHI en un Conjunto de registros designados de conformidad con 45 C.F.R. 164.524(c)(4).

(h) El Asociado Empresarial se compromete a realizar cualquier modificación de la Información de Salud Protegida en un Conjunto de registros designados de conformidad con 45 C.F.R. 164.526 a petición del Cliente o de un Individuo, y en el tiempo y forma Requeridos por ley.

(i) El Asociado Empresarial acuerda poner a disposición del Secretario las prácticas internas, libros y registros relacionados con el uso y divulgación de la Información de Salud Protegida recibida de, o creada o recibida por el Asociado Empresarial, en nombre del Cliente, con el propósito de que el Secretario determine el cumplimiento del Cliente o del Asociado Empresarial con la HIPAA, y a cualquier otra agencia gubernamental con jurisdicción sobre el Cliente.

(j) El Asociado Empresarial se compromete a documentar las divulgaciones de la Información de Salud Protegida y la información relacionada con dichas divulgaciones según se requiera para que el Cliente atienda la solicitud de un Individuo para que se lleve un registro sobre las divulgaciones de la Información de Salud Protegida de conformidad con 45 C.F.R. 164.528.

(k) El Asociado Empresarial acuerda proporcionar al Cliente, previa solicitud y en el tiempo y forma Requeridos por la ley, una contabilidad de las divulgaciones de la Información de Salud Protegida de un Individuo, recopilada de acuerdo con la Sección 2(i) del presente BAA, para permitir que el Cliente responda a la solicitud de un Individuo sobre la contabilidad de las divulgaciones de la Información de Salud Protegida de acuerdo con 45 C.F.R.

164.528. Si el Cliente solicita una rendición de cuentas de la Información de Salud Protegida de un Individuo más de una vez en un período de doce (12) meses, el Asociado Empresarial podrá imponer una tarifa razonable por dicha rendición de cuentas de conformidad con 45 C.F.R. 164.528(c).

(l) El Asociado Empresarial se compromete a cumplir, en su caso, con 45 CFR Parte 164 para mantener la seguridad de la Información de Salud Protegida electrónica y evitar usos o divulgaciones no autorizados de dicha Información de Salud Protegida electrónica. El Asociado Empresarial informará al Cliente sin demora, pero en cualquier caso en un plazo de cinco (5) días laborables, de cualquier Incidente de seguridad que resulte en un uso o divulgación no autorizados de Información de Salud Protegida del que tenga conocimiento; siempre que en esta Sección se notifique, el Asociado Empresarial no estará obligado a seguir informando de un incidente inmaterial que consista únicamente en incidentes triviales que se produzcan a diario, como escaneos, comprobaciones de recursos de la red o un intento infructuoso de acceder indebidamente a Información de Salud Protegida electrónica que esté almacenada en un sistema de información bajo su control; siempre que el Asociado Empresarial mantenga un registro de dichos incidentes triviales y lo ponga a disposición del Cliente cuando éste lo solicite. En el caso de que se produzca una Filtración de la Información de Salud Protegida no segura, el Asociado Empresarial también deberá cumplir los requisitos del presente BAA y de la ley aplicable en relación con dicha Filtración.

(m) En caso de que el Asociado Empresarial tenga conocimiento de cualquier actividad o práctica del Cliente que el Asociado Empresarial considere o deba considerar razonablemente que constituye una violación de las obligaciones del Cliente en virtud de la HIPAA u otras leyes aplicables, el Asociado Empresarial informará inmediatamente al Cliente por escrito de dicha actividad o práctica.

3. Usos y divulgaciones permitidos por el Asociado Empresarial

(a) El Asociado Empresarial podrá utilizar o divulgar Información de Salud Protegida para cumplir con sus obligaciones y servicios del Cliente bajo el BAA de Servicios o el presente BAA, siempre y cuando dicho uso o divulgación no infrinja la HIPAA de ser realizado por el Cliente, y siempre y cuando dicho uso o divulgación no infrinja las leyes aplicables.

(b) El uso, divulgación o solicitud de la PHI por parte del Asociado Empresarial utilizará un Conjunto limitado de datos siempre que sea factible. De lo contrario, el Asociado Empresarial sólo utilizará la cantidad mínima de PHI razonablemente necesaria para lograr el propósito previsto y permitido del uso, divulgación o solicitud.

(c) El Asociado Empresarial podrá utilizar la Información de Salud Protegida para la adecuada gestión y administración del Asociado Empresarial o para llevar a cabo las responsabilidades legales del Asociado Empresarial o según lo permitido por la HIPAA.

(d) El Asociado Empresarial podrá divulgar Información de Salud Protegida para la adecuada gestión y administración del Asociado Empresarial, siempre y cuando las divulgaciones sean Requeridas o permitidas por ley, o el Asociado Empresarial obtenga garantías suficientes por parte de la persona sobre la cual se divulga la información, de que la misma se mantendrá confidencial y se utilizará o divulgará únicamente según lo Requerido por ley o para el propósito para el cual fue divulgada a la persona, y la persona notifique al Asociado Empresarial de cualquier instancia de la cual tenga conocimiento en la cual se haya infringido la confidencialidad de la información con prontitud, y en cualquier caso dentro de un plazo de cinco (5) días hábiles.

(e) El Asociado Empresarial podrá utilizar la Información de Salud Protegida para proporcionar servicios de agregación de datos al Cliente. El Asociado Empresarial podrá desidentificar la Información de Salud Protegida de acuerdo con las normas establecidas en 45 CFR Sección 164.514(b).

4. Obligaciones del cliente.

4.1 Disposiciones para que el Cliente informe al Asociado Empresarial de las prácticas y restricciones de privacidad

(a) Cuando proceda, el Cliente facilitará al Asociado Empresarial la notificación de prácticas de privacidad que el Cliente elabore de conformidad con 45 C.F.R. § 164.520, así como cualquier modificación de dicha notificación.

(b) El Cliente proporcionará al Asociado Empresarial cualquier cambio o revocación del permiso de un Individuo para usar o divulgar Información de Salud Protegida, en caso de que dichos cambios afecten los usos y divulgaciones permitidos o requeridos del Asociado Empresarial.

(c) El Cliente notificará al Asociado Empresarial, por escrito, cualquier restricción al uso o divulgación de Información de Salud Protegida que el Cliente haya acordado de conformidad con 45 C.F.R § 164.522.

(d) El Cliente proporcionará o solicitará al Asociado Empresarial únicamente la Información de Salud Protegida mínima necesaria para que el Asociado Empresarial realice o cumpla una función específica requerida o permitida en virtud de lo dispuesto en el presente documento.

4.2 Solicitudes admisibles del Cliente. El Cliente declara que tiene el derecho y la autoridad para revelar Información de Salud Protegida al Asociado Empresarial para que el Asociado Empresarial cumpla con sus obligaciones y proporcione servicios al Cliente. El Cliente no solicitará al Asociado Empresarial el uso o divulgación de Información de Salud Protegida de ninguna manera que pudiera infringir la HIPAA, otras leyes aplicables o la notificación de privacidad del Cliente, en caso de ser realizada por el Cliente.

5. Término y rescisión

(a) Término. Las disposiciones del presente BAA surtirán efecto a partir de (i) la Fecha, o (ii) la fecha en la que el Asociado Empresarial reciba por primera vez Información de Salud Protegida del o por parte del Cliente (en lo sucesivo, la “Fecha de entrada en vigor”), y deberá continuar hasta el término del presente BAA o hasta la duración por la que el Asociado Empresarial conserve cualquier Información de Salud Protegida del Cliente.

(b) Rescisión por causa justificada. En caso de que el Cliente tenga conocimiento de un incumplimiento por parte del Asociado Empresarial del presente BAA, el Cliente podrá, a su discreción, (i) ofrecer al Asociado Empresarial la oportunidad de subsanar el incumplimiento o poner fin a la infracción en el plazo especificado por el Cliente, o (ii) rescindir inmediatamente el presente BAA.

(c) Efectos de la rescisión.

(1) Salvo lo dispuesto en el párrafo (2) de esta sección, a la terminación del presente BAA, por cualquier motivo, el Asociado Empresarial deberá devolver o destruir toda la Información de Salud Protegida recibida del Cliente, o creada o recibida por el Asociado Empresarial en nombre del Cliente, asegurando la devolución o destrucción de la Información de Salud Protegida que esté en posesión de subcontratistas del Asociado Empresarial.

(2) En caso de que la devolución o destrucción de la Información de Salud Protegida sea inviable, el Asociado Empresarial extenderá la protección del presente BAA a dicha Información de Salud Protegida y limitará los usos o divulgaciones posteriores a aquellos fines que hagan inviable la devolución o destrucción, mientras el Asociado Empresarial conserve dicha Información de Salud Protegida.

6. Varios

(a) Referencias normativas. Cualquier referencia en el presente BAA a una sección de la HIPAA significará la sección en vigor o modificada y cuyo cumplimiento sea obligatorio.

(b) Modificación. Tras la entrada en vigor de cualquier ley que afecte al uso o divulgación de la Información de Salud Protegida, las partes acuerdan negociar de buena fe para modificar el BAA según sea necesario para cumplir con dicha ley.

(c) Vigencia. Las obligaciones del Asociado Empresarial en virtud del presente Acuerdo seguirán vigentes tras la rescisión del mismo.

ACUERDO DE PROTECCIÓN DE DATOS

El presente Acuerdo de Protección de Datos y cualesquiera apéndices o anexos aplicables (denominados conjuntamente «APD») se establece entre XXXXXXXXXXX («el Responsable del tratamiento»), y VERITAS INTERCONTINENTAL SL (el Encargado del tratamiento).

El Responsable del tratamiento es responsable de garantizar que todos los requisitos adicionales previstos en las Leyes de privacidad aplicables se incluyan en el presente APD o se traten de otro modo con el Encargado del tratamiento por escrito, a fin de garantizar que el Responsable del tratamiento pueda cumplir sus obligaciones de protección de datos con arreglo a las Leyes de Privacidad Aplicables. Si tiene alguna pregunta en relación con este APD, envíe un correo electrónico a dpo@veritasint.com

De acuerdo con la Guía para profesionales del sector sanitario de la Agencia Española de Protección de Datos (AEDP), el Encargado del Tratamiento será responsable del tratamiento de los datos personales de los participantes en las pruebas, derivados de los análisis clínicos que realice, pudiendo ser considerado Responsable del tratamiento de determinados datos sanitarios y genéticos que trate. El presente APD se aplica cuando Veritas Intercontinental SL actúa en calidad de Encargado del tratamiento para el Responsable del tratamiento.

1. General. En la prestación de los Servicios, el Encargado del tratamiento tratará datos (incluidos Datos personales) del Responsable del tratamiento o bajo su dirección. El presente APD se aplica al Responsable del tratamiento, a sus afiliados (colectivamente, el «Responsable del tratamiento») y las referencias que aquí se hacen al Responsable del tratamiento se aplican con igual fuerza y efecto a los afiliados del Responsable del tratamiento como si dicho afiliado hubiera ejecutado el presente APD.
2. Definiciones. Por «Leyes de privacidad aplicables» se entenderán todas las leyes de protección de datos, privacidad o seguridad de la información aplicables (incluidos los códigos y normativas u otras restricciones legalmente vinculantes) que rijan el Tratamiento de los Datos personales y que sean aplicables o exigidas por (i) la(s) Ubicación(es) de Tratamiento identificada(s) en el presente APD, (ii) la(s) jurisdicción(es) en la(s) que se encuentra(n) el Encargado del tratamiento o sus Subencargados o (iii) la(s) jurisdicción(es) en la(s) que se encuentran los Sujetos de datos.

Por «Responsable del Tratamiento» se entenderá la persona física o jurídica que, sola o conjuntamente con otras, determine los fines y medios del Tratamiento de Datos personales.

Por «Autoridad de Protección de Datos» o «Autoridades de Protección de Datos» se entenderá el organismo (o los organismos) competente(s) en la jurisdicción pertinente encargado(s) de la aplicación de las Leyes de privacidad aplicables.

Por «Sujeto de datos» se entenderá la persona física identificada o identificable que es objeto de Datos personales/Información personal y que está protegida en virtud de las Leyes de privacidad aplicables.

Por «Sujeto de datos» se entenderá la persona física identificada o identificable que es objeto de Datos Personales/Información Personal.

Por «Pedido» se entenderá cada uno de los Pedidos ejecutados de mutuo acuerdo.

Por «Encargado del tratamiento» se entenderá toda persona física o jurídica que trate datos personales por cuenta del Responsable del tratamiento o de otro Encargado del tratamiento.

Por «Datos personales/Información personal» se entiende la información que identifica, se refiere, describe, puede razonablemente asociarse o podría razonablemente vincularse, directa o indirectamente, con una persona física («Sujeto de datos») o un hogar. Los Datos personales incluyen, entre otros, identificadores como el nombre real, el seudónimo, la dirección de correo, el identificador personal único, el identificador en línea, la dirección de IP, la dirección de correo electrónico, el nombre de la cuenta, el número de la seguridad social, el número del carné de conducir, el número del pasaporte u otros identificadores similares; información biométrica y datos genéticos; información sobre la actividad en Internet u otras redes electrónicas, incluidos, entre otros, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con una aplicación de un sitio web de Internet.

Por «Tratamiento» o «Proceso» se entenderá cualquier operación o conjunto de operaciones que se realicen con Datos personales o conjuntos de Datos personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción.

Por «Instrucciones de Tratamiento» se entenderán las instrucciones escritas de los Responsables del tratamiento (incluidos, entre otros, los términos contenidos en cualquier Pedido y en el presente APD) que rigen el Tratamiento de Datos personales por parte del Encargado del tratamiento.

Por «Lugar de tratamiento» se entenderá el lugar o los lugares en los que está establecido el Responsable del tratamiento o cualquier Filial del Responsable del tratamiento a la que se aplique el presente APD, así como cualquier país en el que el Encargado del tratamiento o sus Subencargados traten Datos personales, incluidas, a título meramente enunciativo y no limitativo, las jurisdicciones expresamente autorizadas en el presente APD.

Por «Incidente de Seguridad» se entenderá que los Datos personales han sido objeto de: (A) tanto (i) un incidente en los sistemas por el que se haya tenido acceso a los Datos personales del Responsable del tratamiento o hayan sido adquiridos por una o varias partes no autorizadas o por el Responsable del tratamiento incumpliendo lo dispuesto en el presente APD; y (ii) cuando el riesgo de daño a los Sujetos de datos justifique la notificación a los Sujetos de datos. A fin de evitar dudas, «un incidente en los sistemas» incluye, entre otros: el uso indebido, la pérdida, la destrucción o el acceso, la recopilación, la retención, el almacenamiento o la transferencia no autorizados.

Por «Servicios» se entenderán todos y cada uno de los servicios que el Encargado del tratamiento preste o permita que los sistemas y la tecnología del Encargado del tratamiento presten en virtud del presente APD y/o de cualquier Pedido.

Por «Subencargado del tratamiento» se entenderá un tercero encargado del tratamiento contratado por un Encargado del tratamiento que tenga o vaya a tener acceso a los datos personales de un Responsable del tratamiento o los vaya a tratar.

3. Detalles del Tratamiento de Datos personales. Los detalles del Tratamiento de Datos personales (objeto, duración, finalidad, naturaleza del tratamiento, categorías de Datos personales y Sujetos de datos) figuran en el Anexo 1.

4. Cumplimiento. A los efectos del presente APD, cada una de las Partes declara y garantiza que cumplirá, en todo momento durante la vigencia del presente APD y mientras la Parte conserve los Datos personales, todas las Leyes de privacidad aplicables. El Responsable del tratamiento garantiza expresamente que ha obtenido u obtendrá todos los consentimientos y/o notificaciones legalmente necesarios para autorizar y contratar al Encargado del tratamiento para que trate los Datos personales de conformidad con las Instrucciones de tratamiento del Responsable del tratamiento. El Encargado del tratamiento conservará y tratará los Datos personales durante un plazo no superior al necesario para prestar los Servicios o durante el tiempo que las Leyes de privacidad aplicables le exijan conservar y tratar los Datos personales. El Encargado del tratamiento acepta que no adquirirá ningún derecho o interés sobre los Datos personales y que no utilizará los Datos personales para ningún otro fin que no sea la prestación de los Servicios y únicamente de conformidad con las instrucciones de Tratamiento del Responsable. El Encargado del tratamiento informará oportunamente al Responsable del tratamiento si, en su opinión, las Instrucciones de tratamiento del Responsable del tratamiento infringen o violan de otro modo las Leyes de privacidad aplicables y si el Encargado del tratamiento tiene conocimiento de que los Datos personales que está tratando son inexactos o han quedado obsoletos. A petición del Responsable del tratamiento, el Encargado del tratamiento cooperará sin demora con el Responsable del tratamiento para que éste pueda cumplir las obligaciones que le incumben en virtud de las Leyes de privacidad aplicables, incluida la asistencia al Responsable del tratamiento para responder a las solicitudes de los Sujetos de datos, ejerciendo sus derechos en virtud de las Leyes de privacidad aplicables. El Encargado del tratamiento informará inmediatamente al Responsable del tratamiento si ha recibido una solicitud de este tipo directamente del Sujeto de datos. El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de la obligación del Responsable del tratamiento de llevar a cabo una Evaluación del impacto sobre la privacidad de los datos, incluida, en su caso, la consulta previa a la Autoridad de protección de datos pertinente.

5. Transferencias internacionales. El Encargado del tratamiento y sus Subencargados pueden almacenar y tratar Datos personales en todo el mundo, incluido el EEE. Cuando el Responsable del tratamiento desee transferir Datos personales a un país distinto de aquel en el que los Datos personales se recopilaron por primera vez, el Responsable del tratamiento adoptará en primer lugar las medidas necesarias para garantizar que la transferencia se realiza de conformidad con las Leyes de privacidad aplicables y garantiza que los Datos personales estarán protegidos según el estándar exigido por las Leyes de privacidad aplicables, asegurándose de que se han establecido los acuerdos contractuales adecuados con el Encargado del tratamiento.

6. Confidencialidad del tratamiento. El Encargado del tratamiento se asegurará de que toda persona a la que autorice a tratar los Datos personales del Responsable sepa que los Datos personales del Responsable son información confidencial del Responsable y están sujetos a las obligaciones de confidencialidad, no utilización y no divulgación establecidas en el presente APD. El Encargado del tratamiento velará por que el tratamiento de los Datos personales del Responsable se realice únicamente en la medida necesaria para la Finalidad.

7. Seguridad, conservación y eliminación. El Encargado del tratamiento aplicará las medidas técnicas y organizativas adecuadas a la naturaleza de los Datos personales del Responsable del tratamiento para proteger dichos Datos personales del Responsable del tratamiento frente a un incidente de seguridad y preservar la seguridad, integridad y confidencialidad de los Datos personales del Responsable del tratamiento. Como mínimo, dichas medidas incluirán las medidas identificadas en el Anexo 2 (las «Medidas de seguridad»). El Encargado del tratamiento se compromete a revisar las Medidas de seguridad y a actualizarlas cuando sea necesario para que sigan siendo adecuadas, siempre que dichas actualizaciones y modificaciones no supongan una disminución de la seguridad general. El Encargado del tratamiento limitará el acceso a su personal y a los Subencargados únicamente cuando sea necesario. El Encargado del tratamiento cumplirá todos los requisitos de conservación y eliminación (o destrucción) de datos en virtud del presente APD.

8. Subtratamiento. El Encargado del tratamiento no contratará a Subencargados del tratamiento para que traten los Datos personales del Responsable sin el consentimiento previo por escrito de éste. No obstante lo dispuesto en la frase anterior, por la presente el Responsable otorga su consentimiento general por escrito al Encargado del tratamiento para la contratación de Subencargados del tratamiento de los Datos personales del Responsable siempre que:

8.1 Los criterios del Encargado del tratamiento para la utilización de un Subencargado exigirán la imposición de condiciones de protección de datos que garanticen al menos el mismo nivel de protección previsto en el presente APD y el Encargado del tratamiento seguirá siendo responsable de cualquier incumplimiento del presente APD causado por una acción, error u omisión de sus Subencargados del tratamiento.

8.2 Los actuales Subencargados del tratamiento del Encargado se identifican en el Anexo 3.

9. Notificación y auditoría. Si el Encargado del tratamiento tiene conocimiento o motivos para creer que se ha producido un Incidente de seguridad relacionado con los Datos personales del Responsable del tratamiento o que afecta a los mismos, el Encargado del tratamiento informará al Responsable del tratamiento sin dilación indebida. El Responsable del tratamiento tendrá derecho, previa solicitud por escrito, a auditar las políticas, procedimientos y prácticas del Encargado del tratamiento empleadas para mantener la privacidad, seguridad y confidencialidad de los Datos personales. Salvo que las Partes acuerden otra cosa por escrito, dicha auditoría consistirá en cuestionarios escritos y documentación en relación con los mismos. Salvo en el caso de un Incidente de seguridad, las auditorías del Responsable del tratamiento en virtud de la presente sección se limitarán a una vez por período renovable de doce (12) meses.

10. Orden de precedencia y otros documentos. En caso de conflicto entre los términos y condiciones de este APD y cualquier Pedido, los términos y condiciones de este APD prevalecerán sobre los términos en conflicto. Cuando no exista conflicto, el presente APD tiene por objeto complementar cualquier Pedido(s) con respecto al objeto del mismo.

11. Varios. El presente APD permanecerá en vigor hasta que, y expirará automáticamente cuando el Encargado del tratamiento elimine y/o procure la eliminación de todos los Datos personales del Responsable del tratamiento tratados por el Encargado del tratamiento. El presente APD, sus Anexos y todos los Pedidos representan el entendimiento y acuerdo íntegros entre las Partes en relación con el objeto del mismo, sustituyendo a cualesquiera condiciones anteriores sobre privacidad y protección de datos. Salvo lo dispuesto específicamente en el presente APD, éste sólo podrá modificarse, alterarse, renunciarse, cancelarse o cambiarse mediante acuerdo mutuo por escrito y firmado por ambas Partes.

Anexo 1

Categorías de sujetos de datos cuyos Datos personales se tratan	Miembros de la plantilla del Responsable del tratamiento, y pacientes del Responsable del tratamiento (es decir, sujetos de datos individuales que participan en las pruebas).
Categorías de Datos personales tratados	Datos personales necesarios para prestar los servicios previstos en el Acuerdo, incluidos datos personales como el nombre, la fecha de nacimiento, el sexo, los datos de contacto como la dirección, la dirección de correo electrónico, el número de teléfono y los datos laborales, en caso de que sean necesarios para prestar los servicios.
Datos sensibles tratados (si procede) a los que se aplican restricciones o garantías que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que implican, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales	Datos sanitarios (datos de categoría especial) y genéticos. En caso de que sea necesario para la prestación de los servicios, también podrán tratarse datos relativos a la raza, la etnia y la vida sexual.   Las garantías y restricciones para asegurar la protección de estos datos se establecen en este APD y en el Anexo 2.
Naturaleza del tratamiento	Pruebas sanitarias y genéticas. El tratamiento se lleva a cabo para facilitar la prestación de los Servicios documentados en el Acuerdo correspondiente.
Finalidad o finalidades para las que se tratan los Datos personales por cuenta del Responsable del tratamiento	Pruebas sanitarias y genéticas. El tratamiento se lleva a cabo para facilitar la prestación de los Servicios documentados en el Acuerdo correspondiente.
Duración del tratamiento	El tratamiento continuará hasta la fecha posterior en que el Acuerdo se rescinda de conformidad con sus condiciones y haya expirado cualquier plazo de preaviso o período transitorio prescrito por dicho Acuerdo y el Encargado del tratamiento ya no esté sujeto a un requisito legal o normativo aplicable para seguir almacenando Datos personales.   El Encargado del tratamiento conservará los datos cuando tenga base legal para hacerlo en virtud de las leyes y normativas aplicables, incluso cuando actúe como Responsable del tratamiento.   El tratamiento se llevará a cabo con la frecuencia requerida para evaluar a los Sujetos de datos que participen a petición del Responsable del tratamiento o del Sujeto de datos individual.
Para el tratamiento por (sub)encargados del tratamiento, especifique también objeto, naturaleza y duración del tratamiento	Conforme a lo anterior, con el único fin de apoyar al Encargado del tratamiento en la prestación de los servicios previstos en el presente Acuerdo.

Anexo 2

Medidas de seguridad técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos

Veritas Intercontinental prioriza la privacidad y la seguridad de toda la información que procesamos en nombre de nuestros clientes como Encargado del tratamiento, o que procesamos en nuestra calidad de Responsable del tratamiento. Nos comprometemos a cumplir con todas las leyes y normativas de privacidad y seguridad aplicables, incluido el Reglamento General de Protección de Datos de la UE («RGPD»), la Ley de Protección de Datos del Reino Unido de 2018 y otras leyes de privacidad globales. Esto incluye mantener un programa de privacidad y seguridad para todo el grupo que esté en consonancia con los requisitos de las leyes globales de privacidad y seguridad y los estándares de la industria, donde se nos apliquen. Existen Medidas técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de los Datos personales protegidos en virtud del presente Acuerdo, incluyendo (sin limitación) políticas, procedimientos y controles operativos para garantizar:

• Gestión de programas de la seguridad de la información
• Protección de puntos finales
• Seguridad para soportes portátiles
• Seguridad para dispositivos móviles
• Seguridad inalámbrica
• Gestión de la configuración
• Gestión de vulnerabilidades
• Protección de la red
• Protección de las transmisiones
• Gestión de contraseñas
• Gestión de accesos
• Registro y supervisión de auditorías
• Educación, formación y concienciación
• Garantía de terceros (incluida la garantía de privacidad y seguridad adecuadas de los subencargados)
• Gestión y respuesta a incidentes, incluido el cumplimiento de las obligaciones de notificación de infracciones
• Continuidad de la actividad y recuperación en caso de catástrofe
• Gestión del riesgo
• Seguridad física y ambiental

Las áreas temáticas que aborda nuestro programa de privacidad incluyen (sin limitación):

• Formación y talleres sobre protección de datos personales
• Privacidad desde el diseño y por defecto
• Registro de las actividades de tratamiento de datos
• Aviso de privacidad y gestión del consentimiento
• Realización de evaluaciones de impacto sobre la privacidad de los datos
• Gestión de riesgos y contratos de terceros
• Revisión y seguridad de las transferencias transfronterizas de datos
• Gestión del Programa de solicitudes de derechos de los Sujetos de datos
• Programas de gestión y respuesta ante incidentes
• Procedimientos de notificación de incidentes

Anexo 3
Posibles Subencargados

Nombre	Descripción del tratamiento
AWS	Almacenamiento de datos en la nube
Microsoft Azure	Almacenamiento de datos en la nube
Fulgent Genetics	Pruebas genéticas de portadores

El presente APD ha sido firmado previamente en nombre de Veritas Intercontinental SL

El encargado: VERITAS INTERCONTINENTAL SL

POR:

NOMBRE: Thomas Bently

PUESTO: VP Data Compliance and Privacy, DPO

FECHA: (Según la fecha en que el responsable del tratamiento acepte electrónicamente la APD y BAA)

Por favor, rellene el formulario y confirme que está de acuerdo con la DPA y BAA de Veritas Intercontinental