Data Processing Agreement (DPA)

Este DPA forma parte del Acuerdo Cevanis ↔ Clínica y regula el procesamiento de datos personales conforme al Reglamento General de Protección de Datos (GDPR — Reglamento UE 2016/679) y el Data Protection Act 2018 (UK GDPR).

1. Roles

• Responsable del Tratamiento (Controller): la Clínica.
• Encargado del Tratamiento (Processor): 360 GLOBAL TRADE BUSINESS LLC (Cevanis).

2. Naturaleza y propósito del tratamiento

Cevanis procesa datos personales en nombre de la Clínica para proporcionar el Servicio descrito en el Acuerdo principal: gestión clínica, comunicaciones, telemedicina, IA, pagos.

3. Categorías de datos procesados

• Datos personales del paciente: nombre, cédula/ID, fecha nacimiento, dirección, contacto.
• Datos de salud (Categorías especiales — Art. 9 GDPR): historia clínica, diagnósticos, tratamientos, radiografías, fotos clínicas.
• Datos financieros: facturas, pagos, métodos de pago (tokenizados via Stripe).
• Datos del staff: usuarios de la clínica con acceso al sistema.

4. Obligaciones de Cevanis (Processor)

• Procesar datos solo según instrucciones documentadas de la Clínica (Art. 28(3)(a) GDPR).
• Mantener confidencialidad del personal con acceso (Art. 28(3)(b)).
• Implementar medidas técnicas y organizativas apropiadas (Art. 32). Ver SLA y Acuerdo Clínica sección 7 para detalles.
• Notificar a la Clínica de violaciones de datos sin demora injustificada y dentro de 72 horas (Art. 33).
• Asistir a la Clínica con DSARs (Data Subject Access Requests), DPIAs cuando aplique (Art. 35), notificaciones a autoridades.
• Eliminar o devolver todos los datos personales tras terminación del Servicio (60 días de gracia para exportación).

5. Subprocesadores

Cevanis usa los siguientes subprocesadores con DPAs vigentes que extienden protecciones GDPR:

Cevanis notificará cambios de subprocesador con 30 días de anticipación. La Clínica puede objetar cambios si tienen impacto material en privacidad.

6. Transferencias internacionales

Algunos subprocesadores procesan datos en USA. Cevanis garantiza mecanismos adecuados de transferencia conforme al Capítulo V GDPR:

• Standard Contractual Clauses (SCCs) — versión aprobada por la Comisión Europea (4 de junio 2021) suscrita con cada subprocesador transatlántico.
• Data Privacy Framework: subprocesadores certificados (Vercel, Resend) cuando aplique.
• Medidas suplementarias técnicas: cifrado, pseudonimización, control de acceso restrictivo.

7. Derechos del titular de datos

Cevanis asistirá a la Clínica en cumplir solicitudes de titulares de datos en los plazos GDPR:

• Acceso (Art. 15): exportación de todos los datos del paciente en formato legible.
• Rectificación (Art. 16): corrección de datos inexactos.
• Supresión / derecho al olvido (Art. 17): eliminación de datos cuando la base legal cese (excepto obligaciones de retención clínica/fiscal).
• Portabilidad (Art. 20): formato estructurado (JSON/CSV).
• Oposición (Art. 21): al procesamiento basado en intereses legítimos.

8. Auditoría

La Clínica tiene derecho a auditar el cumplimiento de Cevanis, previo aviso de 30 días, máximo 1× al año. Cevanis cooperará y proveerá documentación razonable. Auditorías excesivas o sin motivo razonable pueden costear gastos.

9. Indemnización

Cada parte indemnizará a la otra por daños derivados de su incumplimiento del GDPR. La Clínica indemnizará a Cevanis si procesa datos sin base legal apropiada (consentimiento de paciente faltante, etc.).

10. Terminación

Este DPA termina automáticamente con la terminación del Acuerdo principal. Tras terminación, Cevanis devolverá o destruirá todos los datos personales según instrucciones de la Clínica dentro de 60 días.

11. Duración y vigencia

Este DPA entra en vigencia al ser aceptado por la Clínica y permanece vigente mientras Cevanis procese datos personales en su nombre.

Cevanis cuenta con un Data Protection Officer (DPO): dpo@cevanis.com. Para ejercer derechos GDPR contacta a esta dirección.