A efectos del presente documento:

• Empresa: EJERCICIO SALUDABLE, S.L.U., titular de la Aplicación.
• Aplicación: Aplicación Web Profesional EJERCICIO SALUDABLE.
• Profesional Sanitario: Persona física o centro asistencial que utiliza la Aplicación y declara estar legalmente habilitado para el ejercicio de su profesión sanitaria.
• Paciente: Persona física cuyos datos son introducidos por el Profesional Sanitario en la Aplicación en el marco de la relación asistencial existente entre ambos.
• Programa: Conjunto de ejercicios terapéuticos configurados por el Profesional Sanitario a través de la Aplicación en el marco de la relación asistencial.
• Servicio: Prestación tecnológica consistente en el alojamiento, gestión, procesamiento y soporte técnico de la Aplicación.
• Responsable o Responsable del tratamiento: el Profesional Sanitario que utiliza la Aplicación y que determina los fines y medios del tratamiento de los datos personales de sus Pacientes en el marco de la relación asistencial.
• Encargado o Encargado del tratamiento: la Empresa, que trata datos personales por cuenta del Responsable en el marco de la prestación del Servicio y conforme a lo previsto en el presente Contrato.
• Subencargado o Subencargado del tratamiento: tercero contratado por el Encargado para realizar, por cuenta del Responsable y en el marco de la prestación del Servicio, determinadas operaciones de tratamiento de datos personales, previa autorización del Responsable en los términos previstos en el presente Contrato y en la normativa aplicable.

De una parte, el Profesional Sanitario que utiliza la Aplicación, en su condición de Responsable.

Y de otra, la Empresa, en su condición de Encargado.

Ambas partes reconocen capacidad legal suficiente para suscribir el presente Contrato de Encargo de Tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

El presente contrato regula el tratamiento de datos personales realizado por el Encargado por cuenta del Responsable como consecuencia de la prestación del Servicio consistente en la Aplicación.

El tratamiento se limita exclusivamente a las operaciones necesarias para:

• Alojamiento técnico.
• Conservación.
• Organización.
• Visualización.
• Transmisión segura.
• Copias de seguridad.
• Soporte técnico.
• Registro y almacenamiento técnico de aceptaciones electrónicas vinculadas a documentos aportados por el Responsable.

En ningún caso el Encargado realizará actos sanitarios ni adoptará decisiones clínicas.

El presente contrato tendrá la misma duración que la relación contractual derivada de las Condiciones de Uso de la Aplicación (LEG-PRO-CON-001).

Finalizada la relación, se procederá conforme a lo establecido en la cláusula 13 (Destino de los datos).

Naturaleza del tratamiento:

• Alojamiento en servidores.
• Gestión de base de datos.
• Copias de seguridad.
• Procesamiento técnico.
• Soporte técnico.

Finalidad:

Prestación del Servicio contratado, garantizando el funcionamiento, seguridad y disponibilidad de la Aplicación.

Tipos de datos tratados:

• Datos identificativos.
• Datos de contacto.
• Datos profesionales.
• Datos de salud.
• Información clínica introducida por el Profesional Sanitario.
• Datos de uso de la Aplicación.

Los datos de salud constituyen categorías especiales de datos conforme al artículo 9 del RGPD, requiriendo la aplicación de medidas de seguridad reforzadas.

Categorías de interesados:

• Pacientes del Profesional Sanitario.
• Profesionales Sanitarios usuarios de la Aplicación.

El Encargado se compromete a:

1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales de datos, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que le resulte aplicable.

   A efectos del presente contrato, constituyen instrucciones documentadas del Responsable las derivadas de la aceptación del presente Contrato, de la configuración funcional realizada por el Responsable dentro de la Aplicación, de las opciones y parámetros seleccionados por este en el uso ordinario del Servicio y de aquellas instrucciones adicionales que el Responsable comunique por escrito o por medios electrónicos que permitan dejar constancia.

   La funcionalidad estándar, la configuración técnica y la arquitectura operativa de la Aplicación constituyen el marco técnico dentro del cual el Responsable imparte sus instrucciones, pero no sustituyen por sí mismas la necesidad de que dichas instrucciones resulten identificables, documentables y coherentes con la finalidad asistencial y con el uso legítimo del Servicio.

   Si el Encargado considerase que una instrucción del Responsable infringe el RGPD u otra disposición aplicable en materia de protección de datos, informará sin dilación indebida al Responsable.

   En caso de obligación legal que imponga un tratamiento distinto, el Encargado informará previamente al Responsable, salvo que la normativa aplicable lo prohíba por razones de interés público.

2. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
3. Aplicar medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
4. No comunicar, ceder ni poner los datos personales a disposición de terceros, salvo que exista obligación legal o autorización expresa del Responsable.
5. No utilizar los datos personales para fines propios ni distintos de los previstos en el presente contrato.
6. Mantener un registro de las categorías de actividades de tratamiento realizadas por cuenta del Responsable conforme al artículo 30.2 del RGPD.
7. Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en la atención de solicitudes de ejercicio de derechos por parte de los interesados.
8. Asistir al Responsable en el cumplimiento de sus obligaciones relativas a la seguridad del tratamiento, notificación de violaciones de seguridad, evaluaciones de impacto relativas a la protección de datos y consultas previas a la autoridad de control, cuando proceda.
9. Notificar sin dilación indebida cualquier violación de la seguridad de los datos personales conforme a lo previsto en la cláusula 11 del presente contrato.
10. Notificar al Responsable cualquier requerimiento, solicitud o acceso por parte de una autoridad pública relativo a los datos tratados en el marco del presente contrato, salvo que la normativa aplicable prohíba dicha notificación.
11. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitir y contribuir a la realización de auditorías conforme a lo previsto en la cláusula 12 del presente contrato.
12. Asistir al Responsable cuando este deba realizar o actualizar una Evaluación de Impacto relativa a la Protección de Datos conforme al artículo 35 del RGPD.

El Encargado aplicará medidas técnicas y organizativas apropiadas, incluyendo, entre otras:

• Control de accesos basado en roles.
• Autenticación segura.
• Registro y monitorización de accesos.
• Cifrado de datos en tránsito.
• Copias de seguridad periódicas.
• Segregación lógica de datos.
• Protección frente a accesos no autorizados.
• Monitorización de seguridad y detección de incidentes.

Las medidas podrán actualizarse conforme evolucione el estado de la técnica.

Las medidas técnicas y organizativas se encuentran documentadas en la Política de Seguridad de la Información (GOV-POL-001), que forma parte del sistema interno de cumplimiento.

El Responsable autoriza con carácter general al Encargado a recurrir a Subencargados que resulten necesarios para la correcta prestación del Servicio, incluyendo, entre otros, proveedores de infraestructura cloud, almacenamiento, copias de seguridad, monitorización, soporte técnico o servicios tecnológicos auxiliares.

El Encargado garantizará que todo Subencargado quede sujeto, mediante contrato u otro acto jurídico vinculante por escrito, a obligaciones de protección de datos sustancialmente equivalentes a las establecidas en el presente Contrato, en particular en materia de confidencialidad, seguridad, tratamiento conforme a instrucciones, asistencia al Responsable, destino de los datos al finalizar la prestación y, en su caso, transferencias internacionales de datos.

El Encargado no permitirá que un Subencargado trate los datos personales para fines propios ni distintos de los derivados de la prestación del Servicio contratado por el Responsable.

El Encargado mantendrá a disposición del Responsable una relación actualizada de Subencargados y le informará por escrito, o por medios electrónicos que permitan dejar constancia, de cualquier alta, sustitución o cambio relevante con una antelación razonable.

El Responsable podrá oponerse de forma motivada a la incorporación o sustitución de un Subencargado cuando existan razones fundadas relacionadas con la protección de datos, la seguridad de la información o el cumplimiento normativo. Dicha oposición deberá comunicarse por escrito en el plazo de diez (10) días hábiles desde la recepción de la notificación correspondiente.

En caso de oposición motivada, las partes actuarán de buena fe para valorar una solución razonable. Si ello no fuera posible y el Subencargado resultará objetivamente necesario para la prestación del Servicio, el Responsable podrá optar por resolver la relación contractual respecto del Servicio afectado, sin efectos retroactivos y sin derecho a exigir la continuidad de una configuración técnica incompatible con la arquitectura operativa del Encargado.

El Encargado seguirá siendo plenamente responsable frente al Responsable del cumplimiento de las obligaciones en materia de protección de datos asumidas por cada Subencargado en relación con los tratamientos realizados por cuenta del Responsable.

Cuando la intervención de un Subencargado implique transferencias internacionales de datos fuera del Espacio Económico Europeo, el Encargado garantizará la adopción de las garantías adecuadas previstas en la normativa aplicable, de conformidad con la cláusula 9 del presente Contrato.

En caso de utilización de proveedores ubicados fuera del Espacio Económico Europeo, el Encargado garantizará la existencia de cláusulas contractuales tipo o mecanismos equivalentes conforme al Capítulo V del RGPD.

El Encargado asistirá al Responsable en la atención de solicitudes de ejercicio de derechos, siempre que dichas solicitudes se refieran a datos tratados en el marco del servicio.

El Encargado notificará al Responsable sin dilación indebida cualquier violación de seguridad que afecte a datos personales, incluyendo:

• Naturaleza de la brecha.
• Categorías y volumen aproximado de datos afectados.
• Posibles consecuencias.
• Medidas correctivas adoptadas.

La notificación se realizará conforme al procedimiento interno documentado de gestión de brechas del Encargado (GOV-PRO-001_ProcedimientoGestionBrechasSeguridad).

El Responsable podrá verificar el cumplimiento del presente contrato mediante auditorías razonables, directamente o a través de tercero independiente, previa notificación razonable y sin afectar al secreto empresarial ni a la seguridad de otros clientes del Encargado.

A elección del Responsable, el Encargado:

• Suprimirá los datos personales; o
• Los devolverá al Responsable,

salvo que exista obligación legal de conservación.

Cada parte responderá de las infracciones que le sean imputables conforme al artículo 82 del RGPD y demás normativa aplicable.

El presente Contrato forma parte integrante del marco jurídico aplicable al uso de la Aplicación, junto con:

• Condiciones de Uso (LEG-PRO-CON-001).
• Declaración de Habilitación Profesional (LEG-PRO-MOD-001).
• Política de Privacidad (LEG-PRO-POL-001).
• Política de Limitación de Responsabilidad (LEG-PRO-POL-004).

Su aceptación se realiza electrónicamente mediante acción afirmativa expresa y queda registrada con:

• Identificador del Profesional Sanitario.
• Fecha y hora.
• Dirección IP.
• Versión del documento.
• Hash SHA-256 del contenido versionado.

La Empresa podrá actualizar el presente Contrato cuando resulte necesario para mantener su coherencia jurídica, normativa, técnica u organizativa con el resto del marco aplicable al uso de la Aplicación y con la normativa de protección de datos vigente.

Las modificaciones que afecten a elementos sustanciales del encargo de tratamiento, a las instrucciones documentadas, al régimen de Subencargados o a la distribución de obligaciones entre Responsable y Encargado serán comunicadas por medios razonables y, cuando proceda, requerirán nueva aceptación expresa conforme al sistema corporativo de versionado y evidencia digital vigente.

La versión aplicable será la oficialmente activada y puesta a disposición por la Empresa en cada momento.

El presente Contrato entra en vigor en la fecha indicada en el encabezado y resultará exigible desde su aceptación expresa por el Profesional Sanitario.