En este documento de sugerencias de privacidad, puede encontrar información sobre protección de datos de interés para los clientes de Informática Médica, incluyendo:

1. Punto de contacto para temas relacionados con protección de datos.
2. Qué son los datos personales y por qué deben protegerse.
3. Autoridades supervisoras de la protección de datos.
4. Posición de Informática Médica como Encargada de Tratamiento.
5. Principales obligaciones del RGPD para los responsables del tratamiento.
6. Medidas de seguridad implementadas en Informática Médica.
7. Lista de subencargados de Informática Médica / donde se encuentran los datos.

1.- Punto de contacto para temas relacionados con protección de datos

Informática Médica ofrece el siguiente punto de contacto para cuestiones de protección de datos y delegado de protección de datos: dpd@informática-medica.com

2.- Qué son los datos personales y por qué deben protegerse

Los datos personales son cualquier información relacionada con una persona física identificada o identificable (el interesado). Ejemplos de datos personales son nombre y apellido, identificadores de cookies web, pasaporte o DNI, dirección de correo electrónico, historial de compras, fecha de nacimiento, género, datos biométricos, datos de tarjetas de crédito, dirección IP, imagen / foto, alias, etc.
Las organizaciones generalmente procesan datos personales sobre los visitantes de su sitio web, clientes, empleados, colaboradores, seguidores y otros, con el fin de cumplir con sus objetivos, cumplir con obligaciones legales y obligaciones contractuales también.
Cualquier organización que procese datos personales debe cumplir con las leyes y regulaciones de protección de datos. En la Unión Europea, la regulación principal es el Reglamento general de Protección de Datos 2016/679 (RGPD). El RGPD se aplica no solo a las empresas de la UE, sino también a las empresas que ofrecen sus servicios a los residentes de la UE.
En España, además del RGPD, se aplica la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD).

3.- Autoridades supervisoras de la protección de datos

En España la autoridad de control es la Agencia Española de Protección de Datos (www.agpd.es) existiendo también autoridades autonómicas cuyo ámbito de actuación es el sector público.
Para conocer cómo cumplir la legislación de protección de datos, recomendamos consultar el sitio web del sitio web de la autoridad de control, o bien buscar asesoramiento especializado.

4.- Posición de Informática Médica como Encargada de Tratamiento

Las empresas que se suscriben a los servicios de Informática Médica pueden almacenar y tratar datos personales en servicios cloud ofrecidos por Informática Médica. Para dicho tratamiento de datos:

• La empresa suscriptora actúa como responsable del tratamiento.
• Informática Médica actúa como encargado del tratamiento.

Las leyes de protección de datos imponen requisitos tanto para los responsables del tratamiento como para los encargados del tratamiento.
En este documento, se ofrece información sobre algunos de los requisitos que les impone el RGPD, así como la protección de datos y las garantías de seguridad que ofrece Informática Médica.
Las garantías de seguridad y protección de datos ofrecidas por Informática Médica están cubiertas en el Acuerdo de procesamiento de datos ofrecido como parte de los Términos de servicio de Informática Médica para empresas bajo el alcance de GDPR.

5.- Principales obligaciones del RGPD para los responsables del tratamiento

1. Registro de actividades de tratamiento. Se debe crear y mantener un registro de las actividades de tratamiento de datos de acuerdo con el artículo 30 del RGPD. En este registro de actividad de procesamiento de datos.
2. Informar a los interesados ​​cuando recopile sus datos. La información debe ser proporcionada de acuerdo con los artículos 13 y 14 del RGPD, e incluye entre otros aspectos como: (i) identidad del responsable del tratamiento (ii) datos de contacto del delegado de protección de datos (iii) finalidad del tratamiento (iv) destinatarios de los datos (v) derechos del interesado, etc. Solicite el asesoramiento de un experto en protección de datos para crear cláusulas de información y saber cómo obtener pruebas del cumplimiento de este requisito.
3. Identificar bases jurídicas válidas para el tratamiento de datos. El tratamiento de datos generalmente solo se puede procesar en función del consentimiento del interesado, la ejecución de un contrato, el cumplimiento de las leyes y regulaciones, la misión en el interés público u otros intereses legítimos equilibrados. Los motivos válidos pueden cambiar según el país, el sector, si se trata información confidencial (como datos de salud, datos biométricos, datos de sanciones penales, etc.) y si los datos son de adultos o niños. La falta de consentimiento u otra base jurídica válida es una infracción grave y punible. Solicite el asesoramiento de un experto en protección de datos para generar pruebas del cumplimiento de este requisito.
4. Realizar un análisis de riesgos y, si es necesario, una evaluación de impacto de la protección de datos. La evaluación de riesgos debe cubrir, entre otros, los riesgos para las libertades y los derechos de las personas, el riesgo para la confidencialidad y seguridad de los datos y el riesgo por incumplimiento de la normativa de protección de datos. La evaluación detallada del impacto de la protección de datos suele ser necesaria en varias situaciones, como el procesamiento de datos confidenciales, datos a gran escala, observación y monitoreo de sujetos, uso de tecnologías emergentes, etc. Busque el consejo de un experto en protección de datos o de su protección de datos local autoridad, para el cumplimiento de este requisito. Tener en cuenta que en circunstancias de alto riesgo, se debe realizar una consulta previa a la autoridad de protección de datos antes del inicio del tratamiento de datos.
5. Minimizar los datos almacenados y accedidos, y limitar el plazo de retención de datos. Asegúrese de almacenar y procesar solo los datos mínimos, en función del propósito del tratamiento, evitando datos innecesarios. Asegúrese de eliminar los datos una vez que no sean necesarios para el propósito. Asegúrese de que los datos solo sean accesibles para el personal involucrado en su tratamiento y no sean accesibles para nadie más. Despersonalice los datos que pueda necesitar con fines estadísticos o históricos.
6. Nombrar un delegado de protección de datos. De acuerdo con los artículos 37, 38 y 39 del RGPD, así como con los diferentes requisitos locales, es posible que se le solicite que nombre a un delegado de protección de datos. Incluso si las leyes y los reglamentos no lo exigen, puede designar uno voluntariamente. El RGPD requiere que notifique la identidad y los datos de contacto de su delegado de protección de datos a su autoridad supervisora ​​de protección de datos.
7. Implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Los requisitos de seguridad pueden provenir de requisitos legales, requisitos contractuales, así como un análisis de riesgo en materia de seguridad de la información.
   Para los datos almacenados en los servicios de Informática Médica, puede encontrar más adelante en este documento más información sobre las medidas técnicas y organizativas implementadas por Informática Médica. Es deber de cualquier organización que utilice los servicios de Informática Médica evaluar si tales medidas son suficientes en función de sus requisitos.
8. Informar violaciones de seguridad. Dependiendo de la gravedad y el riesgo, las violaciones de datos personales deben notificarse a las autoridades de protección de datos y a las personas cuyos datos se han visto comprometidos por violaciones de seguridad de datos (artículos 33 y 34 del RGPD).
   Informática Médica comunicará de inmediato cualquier violación de la que tenga conocimiento, sin diligencia indebida. El RGPD establece que el responsable del tratamiento, una vez tenga conocimiento de la brecha, dispone de 72 horas para comunicarlo a la autoridad de control.
9. Autorizar la subcontratación. El presente documento recoge la lista de subencargados de Informática Médica. En caso de introducir nuevos subencargados en la lista Informática Médica lo notificará con antelación.
10. Formalizar un contrato de encargado de tratamiento. Dado que Informática Médica es un encargado del tratamiento, ofrece un contrato de encargado del tratamiento tipo a todos sus clientes, que se adjunta al contrato principal de servicios. Aquellos clientes que deseen formalizar un contrato de encargado distinto pueden proporcionarlo para su valoración. En dicha valoración se verifica que el contrato propuesto no contravenga el funcionamiento real del servicio, y que las garantías solicitadas pueden ser satisfechas por Informática Médica. Informática Médica se compromete a valorar el contrato propuesto dentro de 10 días hábiles. Garantías adicionales a las incluidas en el servicio básico (por ejemplo, un acuerdo de nivel de servicio) pueden implicar costes adicionales.
11. Atender los derechos de los interesados en relación a sus datos: acceso, rectificación, supresión, portabilidad de datos, oposición y limitación, revocación de consentimiento, etc. Informática Médica comunicará al responsable, sin dilación indebida, cualquier solicitud que reciba directamente. Corresponde al responsable atender la solicitud.

6.- Medidas de seguridad implementadas en Informática Médica

Entre las medidas de seguridad aplicadas en los servicios de Informática Médica, se incluyen las siguientes:

• Funciones y obligaciones del personal: El personal de Informática Médica ha recibido la formación necesaria en materia de seguridad de los sistemas de TI y cuenta con todas las normas y procedimientos necesarios.
• Comunicación de incidentes: Informática Médica informará de cualquier incidente que se produzca que pueda afectar a los datos personales, indicando el tipo de incidente, la hora en que ocurrió, la persona que hizo el informe, a quién lo informó y los posibles efectos del incidente.
• Identificación y autenticación: Informática Médica ha implementado procedimientos de identificación y autenticación basados ​​en contraseñas o mecanismos similares. Existe un proceso de asignación, distribución y almacenamiento de contraseñas que garantiza su confidencialidad, integridad e identificación individual para los usuarios.
• Control de acceso: el personal de Informática Médica solo está autorizado a acceder a los recursos necesarios para realizar sus funciones.
• Control de acceso físico: La infraestructura que brinda el servicio se encuentra alojada en un espacio dotado de control de acceso y sistemas de monitoreo y control para garantizar que solo el personal autorizado tenga acceso físico.
• Gestión de dispositivos: Informática Médica realiza la gestión e inventario de los dispositivos utilizados en su infraestructura. Informática Médica ha implementado medidas para garantizar la eliminación adecuada de datos y la eliminación de los dispositivos. En caso de autorizarse el almacenamiento de información en dispositivos móviles o portátiles, uso de cifrado para proteger la información.
• Copias de respaldo de datos y servicios: Informática Médica realizará copias de seguridad de la información alojada. Las copias se realizan diariamente.
• Auditorías de protección de datos: Informática Médica tiene un proceso para probar y evaluar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad de los datos.
• Protección contra amenazas: utilización de antivirus y cortafuegos.
• Cifrado de comunicaciones realizadas a través de redes públicas o inalámbricas. Cifrado de la información de los pacientes en base datos para proteger su identidad.
• Informática Médica proporcionará los datos necesarios al CLIENTE para realizar auditorías de protección de datos relacionadas con el tratamiento de datos de los que el CLIENTE es responsable del tratamiento y siempre relacionadas con la verificación de los requisitos estipulados en la normativa de protección de datos.

7.- Lista de subencargados de Informática Médica / donde se encuentran los datos