Cliente DPA Veritas Int

ACUERDO DE PROTECCIÓN DE DATOS

Por favor, lea este documento en su totalidad, rellene sus datos y los datos de su empresa en la parte inferior de este documento y confirme que está de acuerdo con el Acuerdo de Procesamiento de Datos (DPA) de Veritas Intercontinental. Si tiene alguna pregunta en relación con este APD, envíe un correo electrónico a dpo@veritasint.com

El presente Acuerdo de Protección de Datos y cualesquiera apéndices o anexos aplicables (denominados conjuntamente «APD») se establece entre XXXXXXXXXXX («el Responsable del tratamiento»), y VERITAS INTERCONTINENTAL SL (el Encargado del tratamiento).

El Responsable del tratamiento es responsable de garantizar que todos los requisitos adicionales previstos en las Leyes de privacidad aplicables se incluyan en el presente APD o se traten de otro modo con el Encargado del tratamiento por escrito, a fin de garantizar que el Responsable del tratamiento pueda cumplir sus obligaciones de protección de datos con arreglo a las Leyes de Privacidad Aplicables. Si tiene alguna pregunta en relación con este APD, envíe un correo electrónico a dpo@veritasint.com.

De acuerdo con la Guía para profesionales del sector sanitario de la Agencia Española de Protección de Datos (AEDP), el Encargado del Tratamiento será responsable del tratamiento de los datos personales de los participantes en las pruebas, derivados de los análisis clínicos que realice, pudiendo ser considerado Responsable del tratamiento de determinados datos sanitarios y genéticos que trate. El presente APD se aplica cuando Veritas Intercontinental SL actúa en calidad de Encargado del tratamiento para el Responsable del tratamiento.

1. General. En la prestación de los Servicios, el Encargado del tratamiento tratará datos (incluidos Datos personales) del Responsable del tratamiento o bajo su dirección. El presente APD se aplica al Responsable del tratamiento, a sus afiliados (colectivamente, el «Responsable del tratamiento») y las referencias que aquí se hacen al Responsable del tratamiento se aplican con igual fuerza y efecto a los afiliados del Responsable del tratamiento como si dicho afiliado hubiera ejecutado el presente APD.
2. Definiciones. Por «Leyes de privacidad aplicables» se entenderán todas las leyes de protección de datos, privacidad o seguridad de la información aplicables (incluidos los códigos y normativas u otras restricciones legalmente vinculantes) que rijan el Tratamiento de los Datos personales y que sean aplicables o exigidas por (i) la(s) Ubicación(es) de Tratamiento identificada(s) en el presente APD, (ii) la(s) jurisdicción(es) en la(s) que se encuentra(n) el Encargado del tratamiento o sus Subencargados o (iii) la(s) jurisdicción(es) en la(s) que se encuentran los Sujetos de datos.

Por «Responsable del Tratamiento» se entenderá la persona física o jurídica que, sola o conjuntamente con otras, determine los fines y medios del Tratamiento de Datos personales.

Por «Autoridad de Protección de Datos» o «Autoridades de Protección de Datos» se entenderá el organismo (o los organismos) competente(s) en la jurisdicción pertinente encargado(s) de la aplicación de las Leyes de privacidad aplicables.

Por «Sujeto de datos» se entenderá la persona física identificada o identificable que es objeto de Datos personales/Información personal y que está protegida en virtud de las Leyes de privacidad aplicables.

Por «Sujeto de datos» se entenderá la persona física identificada o identificable que es objeto de Datos Personales/Información Personal. Por «Pedido» se entenderá cada uno de los Pedidos ejecutados de mutuo acuerdo.

Por «Encargado del tratamiento» se entenderá toda persona física o jurídica que trate datos personales por cuenta del Responsable del tratamiento o de otro Encargado del tratamiento.

Por «Datos personales/Información personal» se entiende la información que identifica, se refiere, describe, puede razonablemente asociarse o podría razonablemente vincularse, directa o indirectamente, con una persona física («Sujeto de datos») o un hogar. Los Datos personales incluyen, entre otros, identificadores como el nombre real, el seudónimo, la dirección de correo, el identificador personal único, el identificador en línea, la dirección de IP, la dirección de correo electrónico, el nombre de la cuenta, el número de la seguridad social, el número del carné de conducir, el número del pasaporte u otros identificadores similares; información biométrica y datos genéticos; información sobre la actividad en Internet u otras redes electrónicas, incluidos, entre otros, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con una aplicación de un sitio web de Internet.

Por «Tratamiento» o «Proceso» se entenderá cualquier operación o conjunto de operaciones que se realicen con Datos personales o conjuntos de Datos personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción.

Por «Instrucciones de Tratamiento» se entenderán las instrucciones escritas de los Responsables del tratamiento (incluidos, entre otros, los términos contenidos en cualquier Pedido y en el presente APD) que rigen el Tratamiento de Datos personales por parte del Encargado del tratamiento.

Por «Lugar de tratamiento» se entenderá el lugar o los lugares en los que está establecido el Responsable del tratamiento o cualquier Filial del Responsable del tratamiento a la que se aplique el presente APD, así como cualquier país en el que el Encargado del tratamiento o sus Subencargados traten Datos personales, incluidas, a título meramente enunciativo y no limitativo, las jurisdicciones expresamente autorizadas en el presente APD.

Por «Incidente de Seguridad» se entenderá que los Datos personales han sido objeto de: (A) tanto (i) un incidente en los sistemas por el que se haya tenido acceso a los Datos personales del Responsable del tratamiento o hayan sido adquiridos por una o varias partes no autorizadas o por el Responsable del tratamiento incumpliendo lo dispuesto en el presente APD; y (ii) cuando el riesgo de daño a los Sujetos de datos justifique la notificación a los Sujetos de datos. A fin de evitar dudas, «un incidente en los sistemas» incluye, entre otros: el uso indebido, la pérdida, la destrucción o el acceso, la recopilación, la retención, el almacenamiento o la transferencia no autorizados.

Por «Servicios» se entenderán todos y cada uno de los servicios que el Encargado del tratamiento preste o permita que los sistemas y la tecnología del Encargado del tratamiento presten en virtud del presente APD y/o de cualquier Pedido.

Por «Subencargado del tratamiento» se entenderá un tercero encargado del tratamiento contratado por un Encargado del tratamiento que tenga o vaya a tener acceso a los datos personales de un Responsable del tratamiento o los vaya a tratar.

3. Detalles del Tratamiento de Datos personales. Los detalles del Tratamiento de Datos personales (objeto, duración, finalidad, naturaleza del tratamiento, categorías de Datos personales y Sujetos de datos) figuran en el Anexo 1.

4. Cumplimiento. A los efectos del presente APD, cada una de las Partes declara y garantiza que cumplirá, en todo momento durante la vigencia del presente APD y mientras la Parte conserve los Datos personales, todas las Leyes de privacidad aplicables. El Responsable del tratamiento garantiza expresamente que ha obtenido u obtendrá todos los consentimientos y/o notificaciones legalmente necesarios para autorizar y contratar al Encargado del tratamiento para que trate los Datos personales de conformidad con las Instrucciones de tratamiento del Responsable del tratamiento. El Encargado del tratamiento conservará y tratará los Datos personales durante un plazo no superior al necesario para prestar los Servicios o durante el tiempo que las Leyes de privacidad aplicables le exijan conservar y tratar los Datos personales. El Encargado del tratamiento acepta que no adquirirá ningún derecho o interés sobre los Datos personales y que no utilizará los Datos personales para ningún otro fin que no sea la prestación de los Servicios y únicamente de conformidad con las instrucciones de Tratamiento del Responsable. El Encargado del tratamiento informará oportunamente al Responsable del tratamiento si, en su opinión, las Instrucciones de tratamiento del Responsable del tratamiento infringen o violan de otro modo las Leyes de privacidad aplicables y si el Encargado del tratamiento tiene conocimiento de que los Datos personales que está tratando son inexactos o han quedado obsoletos. A petición del Responsable del tratamiento, el Encargado del tratamiento cooperará sin demora con el Responsable del tratamiento para que éste pueda cumplir las obligaciones que le incumben en virtud de las Leyes de privacidad aplicables, incluida la asistencia al Responsable del tratamiento para responder a las solicitudes de los Sujetos de datos, ejerciendo sus derechos en virtud de las Leyes de privacidad aplicables. El Encargado del tratamiento informará inmediatamente al Responsable del tratamiento si ha recibido una solicitud de este tipo directamente del Sujeto de datos. El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de la obligación del Responsable del tratamiento de llevar a cabo una Evaluación del impacto sobre la privacidad de los datos, incluida, en su caso, la consulta previa a la Autoridad de protección de datos pertinente.

5. Transferencias internacionales. El Encargado del tratamiento y sus Subencargados pueden almacenar y tratar Datos personales en todo el mundo, incluido el EEE. Cuando el Responsable del tratamiento desee transferir Datos personales a un país distinto de aquel en el que los Datos personales se recopilaron por primera vez, el Responsable del tratamiento adoptará en primer lugar las medidas necesarias para garantizar que la transferencia se realiza de conformidad con las Leyes de privacidad aplicables y garantiza que los Datos personales estarán protegidos según el estándar exigido por las Leyes de privacidad aplicables, asegurándose de que se han establecido los acuerdos contractuales adecuados con el Encargado del tratamiento.

6. Confidencialidad del tratamiento. El Encargado del tratamiento se asegurará de que toda persona a la que autorice a tratar los Datos personales del Responsable sepa que los Datos personales del Responsable son información confidencial del Responsable y están sujetos a las obligaciones de confidencialidad, no utilización y no divulgación establecidas en el presente APD. El Encargado del tratamiento velará por que el tratamiento de los Datos personales del Responsable se realice únicamente en la medida necesaria para la Finalidad.

7. Seguridad, conservación y eliminación. El Encargado del tratamiento aplicará las medidas técnicas y organizativas adecuadas a la naturaleza de los Datos personales del Responsable del tratamiento para proteger dichos Datos personales del Responsable del tratamiento frente a un incidente de seguridad y preservar la seguridad, integridad y confidencialidad de los Datos personales del Responsable del tratamiento. Como mínimo, dichas medidas incluirán las medidas identificadas en el Anexo 2 (las «Medidas de seguridad»). El Encargado del tratamiento se compromete a revisar las Medidas de seguridad y a actualizarlas cuando sea necesario para que sigan siendo adecuadas, siempre que dichas actualizaciones y modificaciones no supongan una disminución de la seguridad general. El Encargado del tratamiento limitará el acceso a su personal y a los Subencargados únicamente cuando sea necesario. El Encargado del tratamiento cumplirá todos los requisitos de conservación y eliminación (o destrucción) de datos en virtud del presente APD.

8. Subtratamiento. El Encargado del tratamiento no contratará a Subencargados del tratamiento para que traten los Datos personales del Responsable sin el consentimiento previo por escrito de éste. No obstante lo dispuesto en la frase anterior, por la presente el Responsable otorga su consentimiento general por escrito al Encargado del tratamiento para la contratación de Subencargados del tratamiento de los Datos personales del Responsable siempre que:

8.1 Los criterios del Encargado del tratamiento para la utilización de un Subencargado exigirán la imposición de condiciones de protección de datos que garanticen al menos el mismo nivel de protección previsto en el presente APD y el Encargado del tratamiento seguirá siendo responsable de cualquier incumplimiento del presente APD causado por una acción, error u omisión de sus Subencargados del tratamiento.

8.2 Los actuales Subencargados del tratamiento del Encargado se identifican en el Anexo 3.

9. Notificación y auditoría. Si el Encargado del tratamiento tiene conocimiento o motivos para creer que se ha producido un Incidente de seguridad relacionado con los Datos personales del Responsable del tratamiento o que afecta a los mismos, el Encargado del tratamiento informará al Responsable del tratamiento sin dilación indebida. El Responsable del tratamiento tendrá derecho, previa solicitud por escrito, a auditar las políticas, procedimientos y prácticas del Encargado del tratamiento empleadas para mantener la privacidad, seguridad y confidencialidad de los Datos personales. Salvo que las Partes acuerden otra cosa por escrito, dicha auditoría consistirá en cuestionarios escritos y documentación en relación con los mismos. Salvo en el caso de un Incidente de seguridad, las auditorías del Responsable del tratamiento en virtud de la presente sección se limitarán a una vez por período renovable de doce (12) meses.

10. Orden de precedencia y otros documentos. En caso de conflicto entre los términos y condiciones de este APD y cualquier Pedido, los términos y condiciones de este APD prevalecerán sobre los términos en conflicto. Cuando no exista conflicto, el presente APD tiene por objeto complementar cualquier Pedido(s) con respecto al objeto del mismo.

11. Varios. El presente APD permanecerá en vigor hasta que, y expirará automáticamente cuando el Encargado del tratamiento elimine y/o procure la eliminación de todos los Datos personales del Responsable del tratamiento tratados por el Encargado del tratamiento. El presente APD, sus Anexos y todos los Pedidos representan el entendimiento y acuerdo íntegros entre las Partes en relación con el objeto del mismo, sustituyendo a cualesquiera condiciones anteriores sobre privacidad y protección de datos. Salvo lo dispuesto específicamente en el presente APD, éste sólo podrá modificarse, alterarse, renunciarse, cancelarse o cambiarse mediante acuerdo mutuo por escrito y firmado por ambas Partes.

Anexo 1

Categorías de sujetos de datos cuyos Datos personales se tratan	Miembros de la plantilla del Responsable del tratamiento, y pacientes del Responsable del tratamiento (es decir, sujetos de datos individuales que participan en las pruebas).
Categorías de Datos personales tratados	Datos personales necesarios para prestar los servicios previstos en el Acuerdo, incluidos datos personales como el nombre, la fecha de nacimiento, el sexo, los datos de contacto como la dirección, la dirección de correo electrónico, el número de teléfono y los datos laborales, en caso de que sean necesarios para prestar los servicios.
Datos sensibles tratados (si procede) a los que se aplican restricciones o garantías que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que implican, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales	Datos sanitarios (datos de categoría especial) y genéticos. En caso de que sea necesario para la prestación de los servicios, también podrán tratarse datos relativos a la raza, la etnia y la vida sexual.     Las garantías y restricciones para asegurar la protección de estos datos se establecen en este APD y en el Anexo 2.
Naturaleza del tratamiento	Pruebas sanitarias y genéticas. El tratamiento se lleva a cabo para facilitar la prestación de los Servicios documentados en el Acuerdo correspondiente.
Finalidad o finalidades para las que se tratan los Datos personales por cuenta del Responsable del tratamiento	Pruebas sanitarias y genéticas. El tratamiento se lleva a cabo para facilitar la prestación de los Servicios documentados en el Acuerdo correspondiente.
Duración del tratamiento	El tratamiento continuará hasta la fecha posterior en que el Acuerdo se rescinda de conformidad con sus condiciones y haya expirado cualquier plazo de preaviso o período transitorio prescrito por dicho Acuerdo y el Encargado del tratamiento ya no esté sujeto a un requisito legal o normativo aplicable para seguir almacenando Datos personales.   El Encargado del tratamiento conservará los datos cuando tenga base legal para hacerlo en virtud de las leyes y normativas aplicables, incluso cuando actúe como Responsable del tratamiento.   El tratamiento se llevará a cabo con la frecuencia requerida para evaluar a los Sujetos de datos que participen a petición del Responsable del tratamiento o del Sujeto de datos individual.
Para el tratamiento por (sub)encargados del tratamiento, especifique también objeto, naturaleza y duración del tratamiento	Conforme a lo anterior, con el único fin de apoyar al Encargado del tratamiento en la prestación de los servicios previstos en el presente Acuerdo

Anexo 2

Medidas de seguridad técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos

Veritas Intercontinental prioriza la privacidad y la seguridad de toda la información que procesamos en nombre de nuestros clientes como Encargado del tratamiento, o que procesamos en nuestra calidad de Responsable del tratamiento. Nos comprometemos a cumplir con todas las leyes y normativas de privacidad y seguridad aplicables, incluido el Reglamento General de Protección de Datos de la UE («RGPD»), la Ley de Protección de Datos del Reino Unido de 2018 y otras leyes de privacidad globales. Esto incluye mantener un programa de privacidad y seguridad para todo el grupo que esté en consonancia con los requisitos de las leyes globales de privacidad y seguridad y los estándares de la industria, donde se nos apliquen. Existen Medidas técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de los Datos personales protegidos en virtud del presente Acuerdo, incluyendo (sin limitación) políticas, procedimientos y controles operativos para garantizar:

• Gestión de programas de la seguridad de la información
• Protección de puntos finales
• Seguridad para soportes portátiles
• Seguridad para dispositivos móviles
• Seguridad inalámbrica
• Gestión de la configuración
• Gestión de vulnerabilidades
• Protección de la red
• Protección de las transmisiones
• Gestión de contraseñas
• Gestión de accesos
• Registro y supervisión de auditorías
• Educación, formación y concienciación
• Garantía de terceros (incluida la garantía de privacidad y seguridad adecuadas de los subencargados)
• Gestión y respuesta a incidentes, incluido el cumplimiento de las obligaciones de notificación de infracciones
• Continuidad de la actividad y recuperación en caso de catástrofe
• Gestión del riesgo
• Seguridad física y ambiental

Las áreas temáticas que aborda nuestro programa de privacidad incluyen (sin limitación):

• Formación y talleres sobre protección de datos personales
• Privacidad desde el diseño y por defecto
• Registro de las actividades de tratamiento de datos
• Aviso de privacidad y gestión del consentimiento
• Realización de evaluaciones de impacto sobre la privacidad de los datos
• Gestión de riesgos y contratos de terceros
• Revisión y seguridad de las transferencias transfronterizas de datos
• Gestión del Programa de solicitudes de derechos de los Sujetos de datos
• Programas de gestión y respuesta ante incidentes
• Procedimientos de notificación de incidentes

Anexo 3
Posibles Subencargados

Nombre	Descripción del tratamiento
AWS	Almacenamiento de datos en la nube
Microsoft Azure	Almacenamiento de datos en la nube
Fulgent Genetics	Pruebas genéticas de portadores

El presente APD ha sido firmado previamente en nombre de Veritas Intercontinental SL

El encargado: VERITAS INTERCONTINENTAL SL

POR:

NOMBRE: Thomas Bently

PUESTO: VP Data Compliance and Privacy, DPO

FECHA: (Según la fecha en que el responsable del tratamiento acepte electrónicamente la APD)

Por favor, rellene el formulario y confirme que está de acuerdo con la DPA de Veritas Intercontinental