La presente Adenda sobre tratamiento de datos ("ATD") complementa los Términos y condiciones del Servicio ShareCRF entre "Inetsys S.L" (en adelante "ShareCRF") y el Cliente, respecto al Servicio ShareCRF.
1. Introducción
Esta Adenda de Tratamiento de Datos para el Servicio de ShareCRF, incluidos sus anexos (la "Adenda de Tratamiento de Datos") entrará en vigencia y reemplazará cualquier tratamiento de datos y términos de seguridad previamente aplicables a partir de la fecha efectiva de la Adenda de Tratamiento de Datos.
2. Definiciones
2.1 Las palabras que comienzan con letra mayúscula tienen el significado que se establece a continuación, o en su defecto, el significado indicado la sección 2 (Definiciones) de los Términos y condiciones del Servicio ShareCRF:
- "Controles de seguridad adicionales" significa recursos de seguridad, características, funcionalidad y/o controles que el Cliente puede usar a su opción y/o según lo determine incluidos encriptación, registro, administración de identidad y acceso y control de permisos de acceso y edición.
- "Datos Personales del Cliente" se refiere a los datos personales contenidos en los Datos del cliente.
- "EEE" significa el Espacio Económico Europeo.
- "RGPD" significa, según corresponda: (a) el RGPD de la UE; y / o (b) el RGPD del Reino Unido.
- "RGPD del Reino Unido" hace referencia al RGPD de la UE en su forma enmendada e incorporada a la ley del Reino Unido en virtud de la Ley de (Retirada) de la Unión Europea del Reino Unido de 2018, si está en vigor.
- "Fecha efectiva de adenda" significa la fecha en la que el Cliente aceptó, o las partes acordaron de otro modo, esta Adenda de Tratamiento de Datos.
- "Solución de transferencia alternativa" significa una solución, distinta de las Cláusulas contractuales modelo, que permite la transferencia legal de datos personales a un tercer país de acuerdo con la Ley europea de protección de datos.
- "Ley europea de protección de datos" significa, según corresponda: (a) el RGPD; y/o (b) la Ley Federal de Protección de Datos de 19 de junio de 1992 (Suiza).
- "Ley de protección de datos no europea" hace referencia a las leyes de privacidad o protección de datos vigentes fuera del EEE, Suiza y el Reino Unido.
- "Legislación europea o nacional" significa, según corresponda: (a) la legislación de la UE o de los Estados miembros de la UE (si el RGPD de la UE se aplica al tratamiento de Datos personales del cliente); y/o (b) la legislación del Reino Unido o una parte de el Reino Unido (si el RGPD del Reino Unido se aplica al tratamiento de Datos personales del cliente).
- "Incidente de datos" hace referencia a una violación de la seguridad del Servicio que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos del cliente en sistemas administrados o controlados por ShareCRF.
- "Subencargado de tratamiento" significa un tercero autorizado como otro encargado de tratamiento en virtud de esta Adenda de Tratamientos de Datos para tener acceso lógico y procesar los Datos de Cliente con el fin de proporcionar el Servicios y su soporte técnico.
2.2 Los términos "datos personales", "el interesado", "tratamiento", "responsable" y "encargado", tal como se utilizan en esta Adenda de Tratamiento de Datos, tienen los significados dados en el RGPD, independientemente de si se aplica la Ley europea de protección de datos o Ley de protección de datos no europeas.
3. Duración
Esta Adenda de Tratamiento de Datos, a pesar de la expiración del Periodo de Vigencia, permanecerá en vigencia hasta que ShareCRF elimine todos los Datos de Cliente, y expirará automáticamente, como se describe en esta Adenda de Tratamiento de Datos.
4. Alcance de la Ley de Protección de Datos
4.1 Aplicación de la legislación europea
Las partes reconocen que la Ley Europea de Protección de Datos se aplicará al tratamiento de los Datos Personales del Cliente según se indica el RGPD.
4.2 Aplicación de la legislación no europea
Las partes reconocen que la Ley de protección de datos no europea también puede aplicarse al tratamiento de los Datos Personales del Cliente.
4.3 Aplicación de la Adenda de Tratamiento de Datos
Excepto en la medida en que esta Adenda de Tratamiento de Datos establezca lo contrario, los términos de esta Adenda de Tratamiento de Datos se aplicarán independientemente de si la Ley europea de protección de datos o la Ley de protección de datos no europea se aplica al tratamiento de los Datos Personales del Cliente.
5. Tratamiento de datos
5.1 Funciones y cumplimiento normativo; Autorización
5.1.1. Responsabilidades del encargado y del responsable
Si la Ley europea de protección de datos se aplica al tratamiento de Datos Personales del Cliente:
- el asunto y los detalles del tratamiento se describen en el Apéndice 1;
- ShareCRF es un encargado de los Datos Personales del Cliente según la Ley europea de protección de datos;
- El Cliente es un responsable o encargado del tratamiento, según corresponda, de los Datos Personales del Cliente según la Ley europea de protección de datos; y
- cada parte cumplirá con las obligaciones que le son aplicables en virtud de la Ley europea de protección de datos con respecto al tratamiento de los Datos Personales del Cliente.
5.1.2. Autorización por Tercero Responsable del tratamiento
Si la Ley europea de protección de datos se aplica al tratamiento de los Datos Personales del Cliente y el Cliente es un encargado del tratamiento, el Cliente garantiza que sus instrucciones y acciones con respecto a esos Datos Personales del Cliente, incluido el nombramiento de ShareCRF como otro encargado del tratamiento, han sido autorizados por el responsable correspondiente.
5.1.3. Responsabilidades bajo la ley no europea
Si la Ley de protección de datos no europea se aplica al tratamiento de los Datos Personales del Cliente por cualquiera de las partes, la parte correspondiente cumplirá con las obligaciones que le sean aplicables en virtud de esa ley con respecto al tratamiento de esos Datos Personales del Cliente.
5.2 Alcance del tratamiento
5.2.1 Instrucciones del cliente
El Cliente indica a ShareCRF que procese los Datos Personales del Cliente solo de acuerdo con la ley aplicable: (a) para proporcionar el Servicio, apoyo y soporte técnico relacionados; (b) como adicionalmente especificado a través del uso del Servicio por parte del Cliente y los Usuarios finales; (c) según se documente en la forma del Acuerdo aplicable, incluida esta Adenda de Tratamiento de Datos; y (d) según se documente con más detalle en cualquier otra instrucción escrita proporcionada por el Cliente y reconocida por ShareCRF como instrucciones para los fines de esta Adenda de Tratamiento de Datos.
5.2.2 Cumplimiento de las instrucciones por parte de ShareCRF
A partir de la fecha efectiva de esta Adenda de Tratamiento de Datos, ShareCRF cumplirá con las instrucciones descritas en la Sección 5.2.1 (Instrucciones del cliente) (incluso con respecto a las transferencias de datos) a menos que la Legislación europea o nacional a la que esté sujeto ShareCRF requiera otro tratamiento de Datos personales del Cliente de ShareCRF, en cuyo caso ShareCRF notificará al Cliente (a menos que la ley prohíba a ShareCRF hacerlo por motivos importantes de interés público) antes de que se produzca el anteriormente citado otro tratamiento.
6. Eliminación de datos
6.1 Eliminación durante el período
ShareCRF permitirá que el Cliente y los Usuarios finales eliminen los Datos del cliente durante el Período de Vigencia de manera coherente con la funcionalidad del Servicio.
6.2 Eliminación al expirar el Periodo de Vigencia
Tras la expiración o terminación del Acuerdo, salvo que se disponga expresamente lo contrario en el Acuerdo, las instrucciones son las siguientes:
- Si el Cliente solicita la eliminación de los datos de manera fehaciente mediante una notificación o comunicación, ShareCRF eliminará todos los Datos del Cliente de los sistemas de ShareCRF (se excluyen todas copias de seguridad hasta que dichas copias se eliminen en el curso normal de la rotación de copias de seguridad) de acuerdo con la ley aplicable. ShareCRF cumplirá con esta instrucción tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Legislación europea o nacional requiera su almacenamiento.
- Si el Cliente no solicita la eliminación de los datos, tal y como se indica en el anterior punto, ShareCRF puede retener y/o archivar los Datos del Cliente de conformidad con la Guía de Buenas Prácticas Clínicas y teniendo en cuenta las obligaciones de confidencialidad del Acuerdo. ShareCRF podrá eliminar los Datos del Cliente treinta (30) días después de haber informado al cliente mediante correo electrónico. El Cliente podrá acordar con ShareCRF una tarifa por el archivo y retención de los “Datos del Cliente”.
Sin perjuicio de la Sección 9.1 (Acceso; Rectificación; Procesamiento restringido; Portabilidad), el Cliente es responsable de exportar, antes de que expire el Plazo de Vigencia, cualquier Dato del Cliente que desee retener. Si el Cliente solicita ayuda para exportar sus Datos, ShareCRF puede ofrecer este servicio al Cliente por una tarifa razonable.
6.3 Vigencia de la Adenda de Tratamiento de Datos
Aunque haya expirado el Periodo de Vigencia del Acuerdo y se hayan eliminado los Datos del Cliente de ShareCRF, esta Adenda de Tratamiento de Datos seguirá aplicándose a dichos Datos del Clientes mientras exista alguna copia de los Datos de Cliente en los sistemas de ShareCRF.
7. Seguridad de los datos
7.1 Medidas de seguridad, controles y asistencia de ShareCRF
7.1.1 Medidas de seguridad de ShareCRF
ShareCRF implementará y mantendrá medidas técnicas y organizativas para proteger los Datos del Cliente contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal, como se describe en el Apéndice 2 (las " Medidas de seguridad "). Las Medidas de Seguridad incluyen medidas para encriptar datos personales; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resistencia continua de los sistemas y servicios de ShareCRF; para ayudar a restaurar el acceso oportuno a los datos personales después de un incidente; y para pruebas periódicas de eficacia. ShareCRF se reserva el derecho de actualizar las Medidas de seguridad periódicamente, siempre que dichas actualizaciones no den como resultado la degradación de la seguridad general del Servicio.
7.1.2 Cumplimiento de seguridad por parte del personal de ShareCRF
ShareCRF: (a) tomará las medidas adecuadas para garantizar el cumplimiento de las Medidas de seguridad por parte de sus empleados, contratistas y Subencargados del tratamiento en la medida que sea aplicable a su alcance de desempeño, y (b) se asegurará de que todas las personas autorizadas para procesar los Datos personales del cliente estén bajo un obligación de confidencialidad.
7.1.3 Controles de seguridad adicionales
ShareCRF pondrá a disposición Controles de seguridad adicionales para: (a) permitir que el Cliente tome medidas para proteger los Datos del Cliente; y (b) proporcionar al Cliente información sobre cómo proteger, acceder y utilizar los Datos del Cliente.
7.1.4 Asistencia de seguridad de ShareCRF
ShareCRF (teniendo en cuenta la naturaleza del tratamiento de los Datos personales del cliente y la información disponible para ShareCRF) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 32 a 34 del RGPD mediante:
- implementar y mantener las Medidas de seguridad de acuerdo con la Sección 7.1.1 (Medidas de seguridad de ShareCRF);
- poner Controles de seguridad adicionales a disposición del Cliente de acuerdo con la Sección 7.1.3 (Controles de seguridad adicionales);
- cumplir con los términos de la Sección 7.2 (Incidentes de datos);
- si las subsecciones (a) - (c) anteriores son insuficientes para que el Cliente cumpla con dichas obligaciones, a solicitud del Cliente, brindando asistencia adicional razonable. ShareCRF puede cobrar una tarifa razonable por dicha asistencia.
7.2 Incidentes de datos
7.2.1 Notificación de incidentes
ShareCRF notificará al Cliente de inmediato y sin demoras indebidas después de tener conocimiento de un Incidente de datos y tomará las medidas razonables para minimizar el daño y proteger los Datos del cliente.
7.2.2 Detalles del Incidente de datos
La notificación de ShareCRF de un Incidente de datos describirá, en la medida de lo posible, la naturaleza del Incidente de datos, las medidas tomadas para mitigar los riesgos potenciales y las medidas que ShareCRF recomienda que el Cliente tome para abordar el Incidente de datos.
7.2.3 Entrega de notificación
Las notificaciones de cualquier Incidente de datos se enviarán a la dirección de correo electrónico de notificación o, a discreción de ShareCRF, mediante comunicación directa (por ejemplo, por llamada telefónica o una reunión en persona).
7.2.4 No evaluación de los Datos del cliente por parte de ShareCRF
ShareCRF no tiene la obligación de evaluar los Datos del cliente para identificar la información sujeta a requisitos legales específicos. El Cliente es el único responsable de obedecer las leyes de notificación, incidentes aplicables al Cliente y cumplir cualquier obligación de notificación de terceros y relacionados con cualquier Incidente de datos.
7.2.5 No reconocimiento de falta por parte de ShareCRF
La notificación o respuesta de ShareCRF a un Incidente de datos en virtud de esta Sección 7.2 (Incidentes de datos) no se interpretará como un reconocimiento por parte de ShareCRF de cualquier falta o responsabilidad con respecto al Servicio.
7.3. Responsabilidades y evaluación de seguridad del Cliente
7.3.1 Responsabilidades de seguridad del Cliente
Sin perjuicio de las obligaciones de ShareCRF en virtud de las Secciones 7.1 (Medidas de seguridad, controles y asistencia de ShareCRF) y 7.2 (Incidentes de datos), y en cualquier otra parte del Acuerdo aplicable, el Cliente es responsable de su uso del Servicio y el almacenamiento de cualquier copia de los Datos de Cliente fuera de los sistemas de ShareCRF o de los Subencargados de tratamiento de ShareCRF, incluidos:
- utilizar el Servicio y los Controles de seguridad adicionales para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos del cliente;
- asegurar las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que utiliza el Cliente o sus Usuarios finales para acceder al Servicio; y
- conservar copias de sus Datos de cliente según corresponda.
7.3.2 Evaluación de seguridad del cliente
El Cliente acepta, en función de su uso actual y previsto del Servicio, que el Servicio, las Medidas de seguridad, los Controles de seguridad adicionales y los compromisos de ShareCRF en virtud de esta sección 7 (Seguridad de los datos): (a) satisfacen las necesidades del Cliente, incluso con respecto a cualquier obligación de seguridad del Cliente según la Ley europea de protección de datos y/o la Ley de protección de datos no europea, según corresponda, y (b) proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos del cliente.
8. Evaluaciones de impacto y consultas
ShareCRF (teniendo en cuenta la naturaleza del tratamiento y la información disponible para ShareCRF) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 35 y 36 del GDPR, mediante:
- el suministro de Controles de seguridad adicionales de acuerdo con la Sección 7.1.3 (Controles de seguridad adicionales) y;
- el suministro de la información contenida en el Acuerdo aplicable que incluye esta Adenda de Tratamiento de Datos; y
- si las subsecciones (a) y (b) anteriores son insuficientes para que el Cliente cumpla con dichas obligaciones, a solicitud del Cliente, brindando asistencia adicional razonable. ShareCRF puede cobrar una tarifa razonable por dicha asistencia.
9. Derechos del interesado; Exportación de datos
9.1 Acceso; Rectificación; Procesamiento restringido; Portabilidad
Durante el Periodo de Vigencia, ShareCRF permitirá al Cliente, de una manera coherente con la funcionalidad del Servicio, acceder, rectificar y limitar el tratamiento de los Datos del Cliente, incluso a través de la función de eliminación proporcionada por ShareCRF como se describe en la Sección 6.1 (Eliminación durante el período) y para exportar datos del cliente.
9.2 Solicitudes de interesados
9.2.1 Responsabilidad del cliente por las solicitudes
Durante el Periodo de Vigencia, si ShareCRF recibe cualquier solicitud de un interesado en relación con los Datos personales del Cliente, y la solicitud identifica al Cliente, ShareCRF le informará al interesado que envíe su solicitud al Cliente. El Cliente será responsable de responder a dicha solicitud, incluido, cuando sea necesario, mediante el uso de la funcionalidad del Servicio.
9.2.2 Solicitud de asistencia a las solicitudes del interesado de los datos
ShareCRF (teniendo en cuenta la naturaleza del tratamiento de los Datos personales del cliente) ayudará al Cliente a cumplir con sus obligaciones en virtud del Capítulo III del RGPD para responder a las solicitudes de ejercicio de los derechos del interesado mediante:
- proporcionar Controles de seguridad adicionales de acuerdo con la Sección 7.1.3 (Controles de seguridad adicionales);
- cumplir con las Secciones 9.1 (Acceso; Rectificación; Procesamiento restringido; Portabilidad) y 9.2.1 (Responsabilidad del cliente por las solicitudes); y
- si las subsecciones (a) y (b) anteriores son insuficientes para que el Cliente cumpla con dichas obligaciones, a solicitud del Cliente, brindando asistencia adicional razonable. ShareCRF puede cobrar una tarifa razonable por dicha asistencia.
10. Transferencias de datos
El cliente acuerda que ShareCRF puede realizar una transferencia de datos personales para un país tercero o una organización internacional si la Comisión Europea ha decidido que el país tercero, un territorio o uno o más sectores específicos de ese país tercero, o la organización internacional en cuestión, aseguran un nivel de protección adecuado. Esta transferencia no exige autorización específica.
11. Subencargados de tratamiento
11.1 Consentimiento para la participación del Subencargado de tratamiento
El Cliente autoriza específicamente la contratación como Subencargados del tratamiento a aquellas entidades que figuran en la fecha efectiva de esta Adenda de Tratamiento de Datos especificados en el Apéndice 3: Listado de Subencargados de tratamiento. Además, sin perjuicio de la Sección 11.3 (Oportunidad de oponerse a los cambios de Subencargado de tratamiento), el Cliente de manera general autoriza la contratación como Subencargado de tratamiento de cualquier otro tercero (“Nuevo Subencargado de tratamiento externo” en adelante).
11.2 Requisitos para la contratación del Subencargado de tratamiento
Al contratar cualquier Subencargado de tratamiento, ShareCRF:
- garantiza mediante un contrato escrito que:
- el Subencargado de tratamiento solo accede y utiliza los Datos de Cliente en la medida necesaria para cumplir con las obligaciones subcontratadas, y lo hace de acuerdo con el Acuerdo (incluida esta Adenda de Tratamiento de Datos); y
- si el RGPD se aplica al tratamiento de Datos personales del cliente, las obligaciones de protección de datos descritas en el Artículo 28 (3) del RGPD, como se describe en esta Adenda de Tratamiento de Datos, se imponen al Subencargado de tratamiento; y
- seguirá siendo plenamente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Subencargado del tratamiento.
11.3 Oportunidad de oponerse a los cambios de Subencargado de tratamiento
- Cuando se contrate a cualquier Nuevo Subencargado de tratamiento externo durante el Periodo de Vigencia del Acuerdo, ShareCRF, al menos 30 días antes del momento inicial en el que el Nuevo Subencargado de tratamiento externo comience a procesar los Datos del Cliente, notificará al Cliente sobre el compromiso (incluido el nombre y la ubicación del Nuevo Subencargado de tratamiento externo correspondiente y las actividades del mismo).
- El Cliente puede, dentro de los 90 días posteriores a la notificación de la contratación de un Nuevo Subencargado de tratamiento externo, objetar rescindiendo el Acuerdo aplicable inmediatamente mediante notificación a ShareCRF. Este derecho de rescisión es el único y exclusivo recurso del Cliente si el Cliente se opone a cualquier Nuevo Subencargado de tratamiento externo.
Apéndice 1: Asunto y detalles del procesamiento de datos
Asunto
Prestación del Servicio, además de apoyo y soporte técnico relacionados con el Servicio por parte de ShareCRF al Cliente.
Duración del tratamiento
El Periodo de Vigencia más el período desde la expiración de dicho Periodo de Vigencia hasta la eliminación de todos los Datos del Cliente por parte de ShareCRF de acuerdo con la Adenda de Tratamiento de Datos.
Naturaleza y finalidad del tratamiento
ShareCRF procesará los Datos personales del cliente con el fin de proporcionar el Servicio, además del apoyo y soporte técnico relacionado con el Servicio al Cliente de acuerdo con la Adenda de Tratamiento de Datos.
Categorías de datos
Datos relacionados con individuos proporcionados a ShareCRF a través del Servicio, por (o bajo la dirección de) el Cliente o los Usuarios finales.
Interesados de los datos
Los interesados de los datos incluyen las personas sobre las que se proporcionan datos a ShareCRF a través del Servicio por (o bajo la dirección de) el Cliente o los Usuarios finales.
Apéndice 2: Medidas de seguridad
A partir de la fecha efectiva de la Adenda de Tratamiento de Datos, ShareCRF implementará y mantendrá las Medidas de seguridad descritas en este Apéndice 2. ShareCRF puede actualizar o modificar tales Medidas de Seguridad de forma periódica siempre que tales actualizaciones y modificaciones no resulten en la degradación de la seguridad global del Servicio.
1. Infraestructura informática
ShareCRF usa los servicios de AWS (Amazon Web Services) como infraestructura informática de proceso y almacenamiento de datos para el Servicio.
Los centros de datos usados por el servicio ShareCRF se encuentran localizados en Alemania e Irlanda.
El prestador de este servicio (AWS), que actúa como Subencargado de tratamiento, garantiza la conformidad con lo establecido por el GDPR. Puede consultar esta información y las medidas de seguridad y protección mediante este enlace:
https://aws.amazon.com/es/blogs/security/aws-gdpr-data-processing-addendum/
2. Seguridad del Servicio
ShareCRF mantiene en el Servicio las siguientes medidas de seguridad:
- ShareCRF hará una copia de seguridad completa de los Estudios en el Servicio al menos una (1) vez al día.
- Los datos se cifran en reposo y en tránsito.
- Los usuarios tienen cuentas de acceso individuales y es obligatorio el uso de contraseñas fuertes.
- Las sesiones de usuario expiran automáticamente tras los tiempos indicados si no se detecta actividad por parte del usuario:
- A los 120 minutos para el uso de la aplicación web eCRD
- A los 15 minutos para los usuarios que accedan mediante el acceso ePRO.
- El Cliente es el encargado de gestionar los usuarios que tienen acceso al Estudio y el nivel de acceso de cada usuario.
- El acceso directo a la información se encuentra restringido al personal clave de IT de ShareCRF, y todos los accesos a los distintos servidores y servicios se mantienen en un registro.
3. Seguridad del personal
El personal de ShareCRF debe comportarse de manera coherente con las pautas de la empresa con respecto a la confidencialidad, la ética empresarial, el uso adecuado y los estándares profesionales. A todo el personal se le exige firmar un acuerdo de confidencialidad y se le proporciona formación en seguridad.
4. Seguridad del Subencargado del tratamiento
Antes de incorporar a los Subencargados del tratamiento, ShareCRF lleva a cabo una auditoría de las prácticas de seguridad y privacidad de los Subencargados de tratamiento para garantizar que los Subencargados de tratamiento brinden un nivel de seguridad y privacidad apropiado para su acceso a los datos y el alcance de los servicios que están contratados para brindar. Una vez que ShareCRF ha evaluado los riesgos presentados por el Subencargado de tratamiento, y sujeto a los requisitos descritos en la Sección 11.2 (Requisitos para la participación del Subencargado de tratamiento) de esta Adenda de Tratamiento de Datos, se le exige al Subencargado de tratamiento cumplir las condiciones apropiadas de seguridad, confidencialidad y privacidad.
Apéndice 3: Lista de Subencargados de tratamiento