Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Uso entre Clara ("Encargado", "nosotros") y usted ("Responsable", "usted") y regula el procesamiento de datos personales en relación con su uso de los servicios de Clara. Este DPA está diseñado para cumplir con los requisitos del Artículo 28 del Reglamento General de Protección de Datos (RGPD).
1. Definiciones
- Datos Personales: Cualquier información relativa a una persona física identificada o identificable, incluyendo datos de pacientes, grabaciones de sesiones, transcripciones y notas clínicas procesadas a través de Clara.
- Tratamiento: Cualquier operación realizada sobre Datos Personales, incluyendo recogida, registro, almacenamiento, recuperación, uso, transmisión, supresión o destrucción.
- Responsable: Usted, el profesional de salud autorizado que determina los fines y medios del tratamiento de Datos Personales utilizando Clara.
- Encargado: Clara, que procesa Datos Personales por cuenta del Responsable.
- Subencargado: Cualquier tercero contratado por Clara para procesar Datos Personales por cuenta del Responsable.
- Interesado: La persona cuyos Datos Personales son procesados, principalmente sus pacientes.
- Violación de Datos: Una violación de seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, la comunicación no autorizada o el acceso a Datos Personales.
2. Ámbito y Roles
Usted actúa como Responsable de los datos de pacientes y es responsable de garantizar un tratamiento lícito, obtener el consentimiento del paciente y cumplir con los derechos de los interesados. Clara actúa como Encargado y solo procesará Datos Personales según sus instrucciones documentadas y según sea necesario para proporcionar los Servicios. Clara no determina los fines del tratamiento de datos de pacientes y no los utiliza para ningún otro propósito que no sea la prestación de los Servicios.
3. Objeto del Tratamiento
Este DPA regula el tratamiento de Datos Personales por parte de Clara en relación con la prestación de servicios de grabación de sesiones de terapia, transcripción y documentación clínica.
4. Tipos de Datos Personales
Clara procesa las siguientes categorías de Datos Personales por su cuenta:
- Información identificativa del paciente (nombres, datos de contacto) según los introduzca usted
- Grabaciones de audio de sesiones
- Transcripciones automatizadas de sesiones de terapia
- Notas clínicas y resúmenes generados por IA
- Metadatos de sesiones (fechas, horas, duración)
- Información clínica discutida durante las sesiones
- Su información de cuenta y datos de uso
5. Categorías de Interesados
- Sus pacientes cuyas sesiones de terapia son grabadas
- Usted, como profesional de salud que utiliza Clara
6. Obligaciones del Encargado (Clara)
Clara se compromete a las siguientes obligaciones:
- Procesar Datos Personales únicamente según sus instrucciones documentadas, salvo que el Derecho de la UE o de los Estados miembros lo exija
- Garantizar que las personas autorizadas para procesar Datos Personales estén sujetas a obligaciones de confidencialidad
- Implementar medidas técnicas y organizativas de seguridad apropiadas según se describe en la Sección 10
- Contratar Subencargados únicamente con su autorización previa y bajo contratos escritos que impongan obligaciones equivalentes de protección de datos
- Asistirle en la respuesta a solicitudes de interesados para ejercer sus derechos bajo el RGPD
- Asistirle en el cumplimiento de las obligaciones del RGPD relativas a seguridad, notificación de violaciones y evaluaciones de impacto
- Eliminar o devolver todos los Datos Personales tras la terminación de los Servicios, a su elección, salvo que el Derecho de la UE o de los Estados miembros exija su conservación
- Poner a disposición toda la información necesaria para demostrar el cumplimiento y permitir auditorías
- Informarle inmediatamente si consideramos que una instrucción infringe el RGPD u otras leyes de protección de datos
7. Obligaciones del Responsable (Usted)
Como Responsable, usted es responsable de:
- Asegurar que tiene una base jurídica válida para el tratamiento de datos de pacientes, incluyendo la obtención del consentimiento informado para grabar sesiones
- Proporcionar a los pacientes avisos de privacidad apropiados explicando cómo se tratarán sus datos
- Garantizar la exactitud y pertinencia de los Datos Personales proporcionados a Clara
- Responder a las solicitudes de los interesados e informar a Clara de cualquier solicitud relevante
- Realizar evaluaciones de impacto de protección de datos cuando sea necesario
- Cumplir con todas las leyes de protección de datos aplicables en su uso de Clara
- Proporcionar a Clara instrucciones de tratamiento lícitas
- Mantener registros de actividades de tratamiento según lo exige el Artículo 30 del RGPD
8. Subencargados
Usted autoriza a Clara a contratar los siguientes Subencargados para asistir en la prestación de los Servicios. Cada Subencargado está vinculado por obligaciones contractuales consistentes con este DPA.
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Microsoft Azure | Infraestructura cloud, almacenamiento de audio, procesamiento de IA (Azure OpenAI) | Unión Europea |
| Supabase | Alojamiento de base de datos, servicios de autenticación | Unión Europea |
Clara le notificará cualquier cambio previsto en los Subencargados, dándole la oportunidad de oponerse. Si tiene motivos razonables para oponerse, puede rescindir los Servicios afectados.
9. Transferencias Internacionales de Datos
Todos los Datos Personales se almacenan y procesan exclusivamente dentro de la Unión Europea. Clara no transfiere Datos Personales a países fuera de la UE/EEE. Nuestros Subencargados están contractualmente obligados a procesar datos únicamente en centros de datos de la UE. En caso de que esto cambie, garantizaremos que existan salvaguardas apropiadas, como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
10. Medidas de Seguridad
Clara implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado de Datos Personales en tránsito (TLS 1.2+) y en reposo (AES-256)
- Controles de acceso y mecanismos de autenticación para prevenir acceso no autorizado
- Evaluaciones de seguridad regulares y pruebas de vulnerabilidades
- Prácticas de desarrollo seguro y procesos de revisión de código
- Acuerdos de confidencialidad con empleados y formación en protección de datos
- Procedimientos de respuesta a incidentes y planes de continuidad de negocio
- Eliminación automática del audio de sesiones 14 días después del procesamiento
- Separación lógica de datos de clientes
- Copias de seguridad regulares con cifrado
- Registro y monitorización del acceso al sistema
11. Derechos de los Interesados
Clara le asistirá en el cumplimiento de sus obligaciones de responder a solicitudes de interesados bajo el RGPD, incluyendo derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. Si Clara recibe una solicitud directamente de un interesado, le notificaremos sin demora y esperaremos sus instrucciones, salvo que estemos legalmente obligados a responder directamente. Puede gestionar los datos de pacientes, incluidas las solicitudes de eliminación, a través de la interfaz de Clara.
12. Notificación de Violación de Datos Personales
En caso de una Violación de Datos Personales, Clara le notificará sin dilación indebida tras tener conocimiento de la violación. La notificación incluirá:
- Una descripción de la naturaleza de la violación, incluyendo las categorías y el número aproximado de interesados y registros afectados
- Datos de contacto para obtener más información
- Una descripción de las consecuencias probables de la violación
- Una descripción de las medidas adoptadas o propuestas para abordar la violación y mitigar sus efectos
13. Derechos de Auditoría
Clara pondrá a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y el Artículo 28 del RGPD. Previo aviso razonable, Clara permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por usted o un auditor independiente que usted designe. Las auditorías se realizarán durante el horario comercial normal, con aviso previo razonable, y no interferirán de manera irrazonable con las operaciones de Clara. Usted asumirá los costes de cualquier auditoría, salvo que la auditoría revele un incumplimiento material por parte de Clara.
14. Devolución y Eliminación de Datos
Tras la terminación de los Servicios o a su solicitud, Clara, a su elección, eliminará o devolverá todos los Datos Personales y eliminará las copias existentes, salvo que el Derecho de la UE o de los Estados miembros exija su conservación continuada. El audio de las sesiones se elimina automáticamente 14 días después del procesamiento. Puede exportar sus datos en cualquier momento a través de la interfaz de Clara. Tras la eliminación de la cuenta, Clara eliminará todos los Datos Personales en un plazo de 30 días, excepto cuando la retención sea legalmente requerida.
15. Responsabilidad
La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos de Uso. Clara será responsable de los daños causados por un tratamiento que no cumpla con las obligaciones del RGPD específicamente dirigidas a los encargados, o cuando Clara haya actuado fuera o en contra de sus instrucciones lícitas.
16. Vigencia y Terminación
Este DPA entra en vigor cuando comienza a utilizar los Servicios de Clara y permanece vigente hasta que todos los Datos Personales sean eliminados o devueltos. Las obligaciones de este DPA sobreviven a la terminación en la medida necesaria para cumplir su propósito. Cualquiera de las partes puede rescindir este DPA de acuerdo con las disposiciones de terminación de los Términos de Uso.
Información de Contacto
Para preguntas sobre este DPA o para ejercer sus derechos como Responsable, contacte con nuestro Delegado de Protección de Datos en [email protected].