Condiciones actualizadas a día 26 de agosto de 2024.
REUNIDOS
DE UNA PARTE, y en adelante a lo largo del presente escrito, el "CLIENTE", adquirente de la licencia de uso en los términos y condiciones que a continuación detalladamente se expondrán.
DE OTRA PARTE, XOBORG TECHNOLOGIES S.L., en adelante, el "PROVEEDOR", entidad inscrita en el Registro Mercantil de Salamanca, en el Tomo 488, Folio 176, Hoja nº 17082 con C.I.F. núm. B-37568367, y con domicilio social a estos efectos sito en C. Teso de San Nicolás, 17, Semisótano local 1, de Salamanca, C.P. 37.008, Castilla y León (España).
El CLIENTE y el PROVEEDOR, en adelante, podrán ser denominadas, individualmente, "la Parte" y, conjuntamente, "las Partes", reconociéndose mutuamente capacidad jurídica y de obrar suficiente para la celebración del presente Contrato.
EXPONEN
1.- Que el CLIENTE está interesado en la adquisición de la licencia de uso del programa de software denominado ARCHIVEX CLINICAL, que posteriormente se describirá, que conllevará junto a ello la custodia de los datos asociados en la base de datos creada a tal efecto, así como el correspondiente servicio de mantenimiento del programa de software que garantice un correcto funcionamiento del mismo.
2.- Que el PROVEEDOR es una sociedad cuyo objeto social reside en actividades de programación informática, actividades de consultoría informática, gestión de recursos informáticos, proceso de datos, hosting y actividades relacionadas, y otros servicios relacionados con las tecnologías de la información y la informática.
3.- Que las Partes están interesadas en celebrar un contrato de cesión de licencia de uso, en virtud del cual el PROVEEDOR licencie al CLIENTE para el uso del programa informático denominado ARCHIVEX CLINICAL.
4.- De conformidad con todo lo anteriormente expuesto, las Partes acuerdan celebrar el presente contrato de CESIÓN DE LICENCIA DE USO, en adelante, el "Contrato", de acuerdo con las siguientes:
CLÁUSULAS
PRIMERA.- OBJETO DEL CONTRATO
En virtud del Contrato, el PROVEEDOR se obliga a ceder el uso sin exclusiva al CLIENTE del programa de software ARCHIVEX CLINICAL, que se puede definir como un software destinado para la gestión vertical de datos para clínicas relacionadas con el sector de la salud, abarcando desde tareas de citación de pacientes hasta la facturación del centro y pasando, además, por la redacción de historias clínicas, el control de bonos volantes, la posibilidad de crear una tienda online personalizada para que las clínicas puedan comercializar a través de ella sus servicios y productos, la posibilidad de realizar videollamadas con los usuarios de estas y otra gran cantidad de elementos propios de una clínica.
Junto a ello, el PROVEEDOR llevará a cabo la custodia de los datos asociados en la base de datos creada a tal efecto, así como el correspondiente mantenimiento del programa de software que garantice un correcto funcionamiento del mismo.
SEGUNDA.- TÉRMINOS Y CONDICIONES GENERALES Y ESPECÍFICOS DE LA PRESTACIÓN DE SERVICIOS
2.1.- Los Servicios se prestarán en los siguientes términos y condiciones generales:
- El PROVEEDOR responderá de la calidad del trabajo desarrollado con la diligencia exigible a una empresa experta en la realización de los trabajos objeto del Contrato.
- El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las licencias, permisos y autorizaciones administrativas que pudieren ser necesarias para la realización de los Servicios.
- El PROVEEDOR se hará cargo de la totalidad de los tributos, cualquiera que sea su naturaleza y carácter, que se devenguen como consecuencia del Contrato, salvo el Impuesto sobre el Valor Añadido (En adelante, I.V.A.) o su equivalente, que el PROVEEDOR repercutirá al CLIENTE.
- En el caso de que la prestación de los Servicios suponga la necesidad de acceder a datos de carácter personal, el PROVEEDOR, como encargado del tratamiento, queda obligado al cumplimiento del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y demás normativa aplicable en la materia. Los datos introducidos en el programa de software por parte del CLIENTE podrán ser usados por el PROVEEDOR a efectos de elaborar estadísticas anonimizadas respecto del funcionamiento general del mismo, garantizándose en todo caso el cumplimiento de la normativa vigente en materia de protección de datos, concurriendo consentimiento expreso a estos efectos otorgado por el CLIENTE, en los términos y condiciones que se estipulan en el Anexo del presente Contrato.
- El PROVEEDOR responderá, por tanto, de las infracciones en que pudiera incurrir en el caso de que destine los datos personales a otra finalidad, los comunique a un tercero, o en general, los utilice de forma irregular, así como cuando no adopte las medidas correspondientes para el almacenamiento y custodia de los mismos. Para más información sobre este aspecto, se pone a disposición la Cláusula Octava en el presente Contrato.
- A los efectos del artículo 28 del Reglamento General de Protección de Datos, el PROVEEDOR únicamente tratará los datos de carácter personal a los que tenga acceso conforme a las instrucciones del CLIENTE y no los aplicará o utilizará con un fin distinto al objeto del Contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el caso de que el PROVEEDOR destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del Contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Para más información sobre este aspecto, se pone a disposición el Anexo I en el presente Contrato.
- El PROVEEDOR deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Para más información sobre este aspecto, se pone a disposición un listado exhaustivo de las medidas implementadas en la entidad en el Anexo I en el presente Contrato.
- Las obligaciones establecidas para el PROVEEDOR por la presente Cláusula serán también de obligado cumplimiento para sus posibles empleados, colaboradores, tanto externos como internos, y subcontratistas, por lo que el PROVEEDOR responderá frente al CLIENTE si tales obligaciones son incumplidas por tales empleados.
- El PROVEEDOR proporcionará dentro de los servicios contratados en el presente contrato un acceso web al CLIENTE, permitiéndole gestionar por dicho medio citas online con terceros, no haciéndose responsable en ningún caso el PROVEEDOR del correcto uso del servicio que otorgue el CLIENTE a terceros.
2.2.- El PROVEEDOR cederá la licencia de uso, no exclusiva y prestará los Servicios en los siguientes términos y condiciones específicas:
- El PROVEEDOR licencia al CLIENTE el uso del programa descrito en Cláusula Primera de este Contrato; dicha licencia se entiende como licencia personal, de carácter no exclusivo e intransferible. Por ello, se prohíbe expresamente al CLIENTE transmitir, distribuir, subarrendar y ceder en cualquiera de las formas admitidas en Derecho, ya sea de forma gratuita u onerosa, el software de ARCHIVEX CLINICAL. Además, se prohíbe expresamente que el CLIENTE pueda desarrollar otros softwares o tecnologías similares a raíz del software cuya licencia de uso se otorga por medio del presente contrato, de acuerdo con la normativa referente a propiedad intelectual e industrial.
- En el supuesto de que el cliente sea propietario de varias clínicas con ubicaciones físicas diferentes, cada una de ellas deberá disponer de una licencia de Archivex Clinical propia, independientemente de que estas clínicas formen parte de una misma empresa o propietario.
- El espacio de almacenamiento que el CLIENTE dispondrá con la adquisición de la licencia del plan "L" se fija en un máximo de 100 gigabytes (GB), sin perjuicio de la posibilidad por parte del CLIENTE, en base a sus concretas necesidades, de poder aumentar el espacio de almacenamiento en bloques adicionales de 100 gigabytes (GB), incrementándose en este último supuesto el precio final de la licencia de uso, tal como se concretará en la Cláusula correspondiente al precio y facturación fijada en el presente contrato.
En el supuesto que el CLIENTE opte por incrementar el espacio de almacenamiento en los términos fijados en el apartado anterior, y una vez pagado el incremento económico del precio final de la Licencia de Uso, si con posterioridad se dejase de pagar dicho incremento, el PROVEEDOR se verá facultado para poder borrar todos los archivos que excedan del espacio del almacenamiento base contratado fijado en 100 GB.
En caso de que el CLIENTE decidiera darse de baja de la licencia de uso del programa ARCHIVEX CLINICAL, y previamente hubiere optado por incrementar el espacio de almacenamiento, no tendrá derecho a ser reembolsado económicamente en ningún supuesto por el plazo de tiempo que no hubiere disfrutado del incremento de almacenamiento como consecuencia del desistimiento contractual unilateral.
- El CLIENTE podrá optar a disponer de la creación de una tienda online, cuyas condiciones de uso específicas podrán ser consultadas en la siguiente dirección https://archivexclinical.com/contrato-tienda-online, debiendo ser aceptadas -de manera particular- para poder disfrutar de dichos servicios. Esta plataforma web, que estará integrada mediante un identificador único a través del dominio web tienda.archivexclinical.com, facilitará a los CLIENTES la comercialización de sus productos y servicios de manera online.
Dicha plataforma estará generada automáticamente por el PROVEEDOR, y los CLIENTES no tendrán capacidad para someterla a cambios ni a particularidades. Al mismo tiempo, el PROVEEDOR no es responsable de los contenidos que se publicaran en las mismas ni en lo relativo a la contratación de dichos productos y servicios por consumidores y usuarios.
- El CLIENTE podrá optar, además, a disponer de un servicio de videollamada a fin de mantener una comunicación telemática con respecto de sus pacientes. Sus condiciones de uso se detallan específicamente en https://archivexclinical.com/contrato-videollamadas, debiendo ser aceptadas sin reservas ni excepciones. Dicho servicio estará integrado dentro de la plataforma habilitada en el apartado anterior.
La prestación de los servicios de creación de tienda online y del sistema de videollamada tendrá, en todo caso, el carácter de prestador de medios, en tanto que serán los CLIENTES los encargados de llevar a cabo todas las cuestiones legales, de gestión, de promoción, de marketing, etc., que en los citados servicios se realicen, teniendo la condición de editor, responsable y titular único de los mismos.
El CLIENTE podrá optar al servicio de creación de campañas publicitarias dentro del apartado “Otros” de Archivex Clinical y de la pestaña “Marketing”. En este sentido, al CLIENTE se le da la posibilidad de enviar emails, SMS o notificaciones push a sus clientes y usuarios. Sus condiciones de uso se detallan específicamente en https://archivexclinical.com/contrato-marketing.
- El CLIENTE reconoce que el programa se suministra tal y como se describe en el Objeto del contrato, Cláusula Primera. Por otro lado, por medio del presente contrato, estarán incluidas todas las posibles futuras actualizaciones que puedan producirse en el programa de software, a las cuales tendrá derecho el CLIENTE en tanto en cuanto esté en vigor la licencia de uso contratada, no pudiendo exigirse adaptaciones en el programa en base a sus concretas necesidades, sin perjuicio de que pueda sugerir cambios al PROVEEDOR que éste desarrollará si considera oportuno.
- El PROVEEDOR informará al CLIENTE de cualquier novedad, ampliación, modificación, etc., que se produzca en el programa, por si le interesase su compra.
- El PROVEEDOR ejecutará el Contrato realizando de manera competente y profesional los Servicios, cumpliendo los niveles de calidad exigidos y cuidando diligentemente los materiales del CLIENTE que tuviera que utilizar como consecuencia del Contrato.
- EL PROVEEDOR ofrecerá al CLIENTE un soporte telefónico en el siguiente horario comercial: de 09:00 horas a 18:00 horas; y de 09:00 horas a 15:00 horas los viernes, a excepción de los festivos. Dicho soporte telefónico podrá ser utilizado de manera gratuita por los CLIENTES TRES (3) horas computadas mensualmente. En caso de que se extralimiten estas consultas, se podrán establecer cargos económicos adicionales o, en su caso, la rescisión del contrato.
- Es responsabilidad del CLIENTE el proceso de trasvase de datos a ARCHIVEX CLINICAL que estén almacenados en otro sistema de software ajeno. En caso de que el CLIENTE quiera que el PROVEEDOR haga este proceso será presupuestado en atención a las circunstancias específicas que se adviertan. En cualquier caso, no se podrá garantizar la calidad final del proceso de reimportación ni que complete en su totalidad, ya que pueden suceder vicisitudes ajenas al PROVEEDOR.
- EL PROVEEDOR podrá establecer un sistema de envío de SMS y emails, a fin de que sean enviados a los usuarios de los CLIENTES a modo de recordatorio de citas, campañas de marketing u otros. En cualquier caso, su contenido, el envío correcto de los mismos o el acuse de recibo no serán responsabilidad del PROVEEDOR.
- Para las opciones de creación de tiendas online y del uso del sistema de videollamadas, se prevén unos términos específicos que se recogen de manera específica en cada una de las Condiciones expresadas anteriormente.
2.3.- Las condiciones económicas y los servicios que se incluyen en cada uno de los Planes de Archivex Clinical se especificarán en el siguiente sitio web: https://archivexclinical.com/precios, al margen de lo dispuesto en la Cláusula Quinta del presente Contrato.
TERCERA.- DERECHOS Y OBLIGACIONES DE LAS PARTES
3.1 – Derechos, obligaciones y responsabilidad del CLIENTE
- El CLIENTE es el único responsable de la selección del programa de software y de los servicios que constituyen el objeto de este Contrato y que éstos se ajustan a sus necesidades, así como de la instalación y utilización del programa.
- Así mismo, es responsabilidad del CLIENTE adaptar y comprobar -al instalar el software y durante su uso- que sus equipos informáticos constan de los requisitos técnicos básicos (hardware, software y conexión a internet) que permitan el correcto funcionamiento del software cuyo uso se adquiere con la firma del presente contrato. En caso de que no se respeten estos requisitos técnicos o las alternativas que se dé desde el soporte técnico provoquen vicisitudes, el PROVEEDOR no responderá de los daños que se puedan causar.
- El CLIENTE se compromete a utilizar el software desarrollado por el PROVEEDOR, de conformidad con el conjunto de obligaciones establecidas en las presentes Condiciones, así como las establecidas específicamente en materia de protección de datos, propiedad intelectual y otras a tener en cuenta. El CLIENTE, por tanto, será responsable de un uso indebido del software o de no cumplir fielmente con la legislación vigente.
- El CLIENTE es responsable de los contenidos que ponga a disposición de sus usuarios en el software. Por tanto, el CLIENTE es el único editor, titular y responsable de dichos contenidos, por lo que el PROVEEDOR no podrá, en ningún caso, ser considerado como editor, titular ni responsable de los contenidos creados por los CLIENTES por medio de los servicios prestados.
- El CLIENTE tiene que asegurarse, como responsable único, que los datos facilitados por sus clientes son verdaderos y han sido obtenidos de manera lícita y conforme a la normativa de protección de datos. El PROVEEDOR no se hará responsable de lo que se almacene en dicho servicio.
- El CLIENTE es el responsable único y exclusivo de la licitud de los productos y servicios comercializados a través del software, así como de las condiciones específicas de su contratación y de la aplicación correcta de la legislación vigente. El PROVEEDOR no responderá, en su caso, de las eventuales vicisitudes y reclamaciones que los usuarios puedan realizar en el marco de la contratación de dichos productos y servicios que llevan a cabo los CLIENTES.
- El CLIENTE, además, acuerda no anteponer o comercializar productos cuya comercialización esté prohibida.
- El CLIENTE deberá velar porque sus colaboradores y empleados utilicen la plataforma de conformidad con las obligaciones anteriormente expuestas.
- El CLIENTE deberá notificar sin dilaciones y de manera motivada al PROVEEDOR los eventuales problemas encontrados en el funcionamiento de la plataforma mediante comunicación electrónica.
3.2.- Derechos, obligaciones y responsabilidad del PROVEEDOR
- El PROVEEDOR se compromete a poner en marcha el software y asegurar la continuidad del mismo a los CLIENTES.
- No habrá responsabilidad del PROVEEDOR en caso de no seguir los consejos de utilización proporcionados en el marco de asistencias online o telefónicas a CLIENTES.
- El PROVEEDOR, en caso de que el CLIENTE establezca una relación contractual con alguno de sus USUARIOS, deberá ser considerado como un tercero al respecto, no ejerciendo ningún control sobre dicha circunstancia.
- La plataforma creada para el CLIENTE se alojará en los servidores del PROVEEDOR. XOBORG, por consiguiente, tendrá consideración de proveedor de hosting, en los términos de lo previsto en el artículo 14 de la Directiva 2000/31/CE.
- En ningún caso será responsable el PROVEEDOR del programa de software ARCHIVEX CLINICAL, ante el usuario o terceras partes, de cualquier daño, incluida pérdida de beneficios, pérdida de ahorro o cualquier tipo de perjuicio surgido como consecuencia de su utilización, incluidos posibles hackeos en los equipos informáticos que puedan dificultar o inutilizar el correcto funcionamiento del mismo, siendo el uso del programa a riesgo y ventura del CLIENTE.
- El CLIENTE será el único responsable de los contenidos y utilización de las opciones de creación de tienda online y del uso del sistema de videollamada. De igual forma, los CLIENTES se comprometen a cumplir con la normativa vigente, en especial la relativa a la protección de datos de carácter personal respecto de sus clientes y a la contratación de los servicios y productos comercializados para estos. En todo caso, se prevén condiciones específicas, las cuales deberán ser aceptadas expresamente y sin reservas, para el uso de estas opciones, tal y como se hizo referencia anteriormente.
- El PROVEEDOR se reserva el derecho a interrumpir de forma unilateral y en todo momento -total o parcialmente- el acceso a la plataforma sin que incurra en responsabilidad de ningún tipo ni que ningún reembolso pueda ser requerido en los siguientes supuestos:
- En caso de fallo en los sistemas informáticos, programas o materiales de sus servidores;
- En caso de ataques informáticos masivos por terceros sobre su plataforma;
- En caso de ataques informáticos por terceros sobre los servicios, API y plugin necesarios para la disponibilidad de su plataforma;
- En caso de un uso indebido y abusivo del CLIENTE respecto de los servicios del software;
- Por razones de mantenimiento o mejoras, sobre todo por la modificación de las características de infraestructuras técnicas y de sus proveedores.
- Por razones de orden económico, como, a modo ejemplificativo, que la nueva funcionalidad no sea usada de forma constante por los CLIENTES, que el número de estos no permita un mantenimiento adecuado de la misma, o que la actualización no sea rentable económicamente.
- Por razones lógicas de orden organizativo y técnico.
- El PROVEEDOR no será responsable de los productos y servicios comercializados a través del software; entre otros, ni de su contenido, sus características y especificaciones técnicas, la forma en que son ejecutados, la licitud de los datos obtenidos de los usuarios y consumidores, el uso que hagan los usuarios y consumidores sobre el software o el uso que hagan los CLIENTES sobre el mismo.
- En el caso de uso de las campañas de marketing o en caso de usar los servicios de citas online, el PROOVEDOR no responderá del envío ni recepción efectivas de emails, SMS y notificaciones push.
- El PROVEEDOR en ningún caso, será responsable de los daños que pudiera causar el USUARIO por uso erróneo o indebido en relaciones con terceros, siendo responsabilidad única y exclusiva del USUARIO.
- Tampoco se hace responsable de los daños y perjuicios que pudieran ocasionar, como consecuencia de (a título ejemplificativo): las faltas de disponibilidad del software (debido, por ejemplo, a mantenimientos técnicos que conlleven paradas periódicas), la disponibilidad de los productos o servicios, la disponibilidad de los elementos técnicos, imagen o estructura de la plataforma, la operatividad del servicio, los errores u omisiones en los contenidos, la transmisión de virus o programas maliciosos o lesivos de los contenidos o ataques masivos a la plataforma, a pesar de haber adoptado todas las medidas posibles para evitarlo. En caso de que el servicio no esté disponible, intentará mediar para su solución en un tiempo razonable e implementará, siempre que sea necesario, alternativas.
- El PROVEEDOR se compromete mediante un ACUERDO DE NIVEL DE SERVICIOS (SLA) a que el servicio no esté continuamente interrumpido, sea erróneo o no esté disponible la mayor parte del tiempo, en atención a las circunstancias técnicas que se recogen posteriormente.
- El PROVEEDOR no será responsable de las posibles conductas delictivas que pudieran desarrollarse (en especial, a los fraudes económicos que pudieran darse o eventuales suplantaciones de identidad), o de los enriquecimientos injustos que pudieran advertirse.
- Para las opciones de creación de tiendas online y del uso del sistema de videollamadas, se prevén unos derechos, obligaciones y responsabilidades específicas que se recogen de manera específica en cada una de las Condiciones expresadas anteriormente.
CUARTA.- GARANTÍA Y RESPONSABILIDAD
4.1 – Garantía en el uso de la plataforma por parte de los CLIENTES
- El CLIENTE se compromete a utilizar la plataforma digital generada por el PROVEEDOR, de conformidad con el conjunto de derechos, obligaciones y responsabilidades establecidas en la Cláusula 3 de las presentes Condiciones.
- El CLIENTE será el único garante en materia de contratación respecto de los productos y servicios ofrecidos -y su forma de ejecutarlos-, por lo que tendrá que garantizar que estos se llevan a cabo de acuerdo a la legislación vigente.
4.2 – Garantía en la creación, mantenimiento y disponibilidad de la plataforma por parte del PROVEEDOR
- El PROVEEDOR se compromete a crear, mantener y garantizar la disponibilidad del programa de acuerdo al contenido recogido en las Condiciones anteriores.
- El PROVEEDOR se garantiza a mantener -respecto de su ámbito temporal- el servicio de acuerdo a lo dispuesto a continuación.
- El PROVEEDOR garantizará que el servicio esté correcto y esté disponible, en todo caso se compromete a respetar un Acuerdo de Nivel de Servicios adecuados, el cual se recoge posteriormente.
QUINTA.- PRECIO Y FACTURACIÓN
5.1.- Al margen de lo dispuesto en los apartados posteriores, los precios y las condiciones de cada uno de los planes se regirán por lo establecido en el siguiente sitio web https://archivexclinical.com/precios y, al mismo tiempo, podrá someterse a promociones y ofertas especiales.
En cualquier caso y para los clientes que hayan formalizado el contrato con anterioridad a esta modificación, les será aplicable las condiciones económicas aceptadas en el momento de la firma del contrato de licenciamiento.
5.2.- En todo caso, el precio que deberá abonar el CLIENTE variará dependiendo de la modalidad escogida para el suministro de la licencia de uso:
Plan S
Cuota mensual:
El precio de la licencia de uso que deberá pagar el CLIENTE será de TREINTA Y NUEVE EUROS CON NOVENTA Y CINCO CENTIMOS (39,95 €), más I.V.A., de manera mensual, como cuota de licencia del programa para UN (1) usuario.
Plan M
Cuota mensual:
El precio de la licencia de uso que deberá pagar el CLIENTE será de CINCUENTA Y NUEVE EUROS CON NOVENTA Y CINCO CENTIMOS (59,95 €), más I.V.A., de manera mensual, como cuota de licencia del programa para CINCO (5) usuarios incluidos en el precio.
Plan L
Cuota mensual:
El precio de la licencia de uso que deberá pagar el CLIENTE será de SETENTA Y NUEVE EUROS CON NOVENTA Y CINCO CENTIMOS (79,95 €), más I.V.A., de manera mensual, como cuota de licencia del programa para DIEZ (10) usuarios incluidos en el precio.
- Para el servicio opcional de creación de tiendas online, se aplicarán comisiones por la comercialización de productos y servicios a través de dichas plataformas web. Estas comisiones variarán atendiendo a diversas circunstancias técnicas o económicas, tales como las características de los productos o servicios comercializados, a la pasarela de pagos utilizada en cada momento o al plan contratado en ARCHIVEX CLINICAL. En todo caso, dichas comisiones se harán públicas en todo momento y antes de la aceptación o consentimiento prestado.
5.3.- El precio anteriormente referenciado podría verse afectado por ofertas y promociones temporales. En España no peninsular los impuestos pueden variar según normativa vigente. Al mismo tiempo, el precio se podrá actualizar anualmente, en la fecha en que se cumpla cada mes de vigencia de la suscripción conforme a la variación del Índice General Nacional de Precios al Consumo (IPC).
5.4.- Almacenamiento: En el supuesto que el CLIENTE optase por incrementar el espacio de almacenamiento que la licencia de uso del plan "L" le confiere, podrá hacerlo contratando bloques de 100GB, el precio final que deberá abonar se incrementará, a lo previamente estipulado, en la cuota mensual, en VEINTICINCO EUROS (25,00 €) más I.V.A por cada bloque adicional contratado.
5.5.- Usuarios adicionales: En el supuesto que el CLIENTE optase por disponer de más cuentas de usuario de las que la licencia de uso del plan "L" le confiere, el precio final que deberá abonar se incrementará, a lo previamente estipulado, en la cuota mensual, en DIEZ EUROS (10,00 €) más I.V.A. por cada cuenta de usuario adicional contratada.
5.6.- Cuentas de autonómo vinculadas: En el supuesto que el CLIENTE optase por disponer de cuentas de autónomo externas a la clínica, con su propia facturación, y con las características que confiere una licencia de uso del plan "S", el precio final que deberá abonar se incrementará, a lo previamente estipulado, en la cuota mensual, en QUINCE EUROS (15,00 €) más I.V.A. para clientes de los planes "M" o "L".
En el supuesto que el CLIENTE necesitase que esas cuentas de autonómo vinculadas tuviesen más de un usuario, o unas características superiores a las del plan "S", tendría que adquirir una licencia de uso del plan "M" o "L" adicional con los precios estipulados anteriormente para esos planes.
5.7.- Modalidad de Pago: El pago de la cantidad económica pactada deberá realizarse necesariamente por adelantado, autorizando expresamente el CLIENTE que el pago se lleve a cabo a través de domiciliación bancaria SEPA por medio de la cuenta bancaria a tal efecto se designe.
De esta forma, mediante el mandato u orden de domiciliación, el CLIENTE autoriza al PROVEEDOR a realizar en la cuenta de su titularidad que designe, los cobros derivados de la presente relación contractual, facilitándose de esta manera los cobros nacionales y/o transfronterizos.
En caso de que el CLIENTE no resida en España el pago de la cantidad económica pactada deberá realizarse mediante Stripe.
Para el servicio opcional de creación de tiendas online, las comisiones por la comercialización de productos y servicios que se apliquen se realizarán mediante la API desarrollada por Stripe, en el sentido de que el pago de las compras en la tienda online admitirá tarjeta bancaria y, una vez realizada dicha compra, se calculará la comisión conforme a las condiciones económicas especificadas anteriormente.
SEXTA.- DURACIÓN DEL CONTRATO
El CLIENTE contrata los servicios del PROVEEDOR y se obliga al pago con la periodicidad acordada anteriormente. Si bien, cualquiera de las partes puede dar por concluida esta relación contractual, siempre y cuando se notifique fehacientemente por escrito a la otra parte, al menos siete (7) días laborales antes de que se produzca el cobro de la siguiente cuota.
Ante la situación de impago de alguno de los servicios contenidos en el presente contrato o alguno de los anexos, el PROVEEDOR se reserva el derecho de inhabilitar el acceso al programa sin previo aviso. El contrato finalizará igualmente, sin penalización alguna, por ser declarada cualquiera de las partes en estado judicial de quiebra o concurso de acreedores, situación de insolvencia o cese de actividades, se iniciase un proceso de liquidación o disolución; y por cualquier otra causa de las establecidas en Derecho.
SÉPTIMA.- ACUERDO DE NIVEL DE SERVICIO
7.1.- Alcance, objetivos y duración
El proveedor llevará a cabo la prestación definida en las cláusulas del contrato, de acuerdo a su leal saber y entender, sus conocimientos sobre la materia objeto de prestación, cualidades y pericia. El presente acuerdo establece los términos y condiciones a las que XOBORG, en adelante PROVEEDOR, está sujeto en el ámbito de la prestación del servicio de instalación y mantenimiento de ARCHIVEX.
Este acuerdo persigue establecer unos niveles de calidad en la prestación del servicio proporcionado por PROVEEDOR. El presente acuerdo se inicia con la fecha efectiva celebración y aceptación de las presentes Condiciones, siendo la duración del mismo la establecida en las Condiciones anteriormente descritas.
7.2.- Aspectos técnicos
a. Disponibilidad
El PROVEEDOR garantizará un acuerdo de nivel de servicio de acceso al programa del 95%, calculado mensualmente. Ello determina que el PROVEEDOR garantiza al CLIENTE el correcto acceso y funcionamiento de la plataforma en dicho porcentaje en cuanto al ámbito temporal contratado contractualmente, garantía que será suministrada por parte del PROVEEDOR sin perjuicio de la previsión que corresponde al CLIENTE de adaptar, comprobar y actualizar sus equipos informáticos y conexiones para procurar que dichos equipos consten de los requisitos técnicos básicos que permitan el correcto funcionamiento del programa de software. Por consiguiente, los servicios prestados se ofrecerán con la disponibilidad citada anteriormente a excepción de las franjas establecidas para las ventanas de mantenimiento.
b. Continuidad
El PROVEEDOR se compromete a restablecer el servicio y los niveles de servicio ofertados en un tiempo razonable y, en todo caso, en cuanto se pueda llevar a tal efecto por circunstancias de carácter técnico. En caso de que no se pueda restablecer el servicio por cuestiones ajenas al PROVEEDOR, este dará alternativas y, en su caso, se valorará descontar el importe proporcional del servicio no disfrutado.
c. Capacidad
El PROVEEDOR se compromete a gestionar la capacidad de los servicios prestados a los CLIENTES de acuerdo con los términos previstos en las presentes Condiciones. En cualquier caso, el aumento de recursos para la prestación del servicio estará siempre sujeto a autorización expresa de XOBORG. Con el fin de garantizar unos niveles de servicio adecuados los clientes deberán informar a XOBORG de posibles picos relativos al uso de recursos derivados de su actividad empresarial.
d. Gestión de incidentes y peticiones del servicio
La prestación del servicio puede estar sujeta a incidentes que pueden comprometer el mantenimiento de unos niveles de servicio adecuados. En este sentido y para evitar que estos incidentes impacten en la menor medida posible en la prestación del servicio, garantizarán unos tiempos de respuesta adecuados y una resolución correcta. Dicho tiempo será de 48 horas laborales.
7.3.- Condiciones específicas de SLA
Para las opciones de creación de tiendas online y del uso del sistema de videollamadas, se prevén unos términos específicos, tal y como se expresó con anterioridad, respecto al nivel de servicio que el PROVEEDOR ofrece.
OCTAVA.- PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Se comunica que, de conformidad con el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril, sus datos personales se incluirán en la base de datos de XOBORG TECHNOLOGIES, S.L.
Las finalidades legítimas del tratamiento de los datos de carácter personal a los que hacemos referencia son la de mantener la relación contractual. En cualquier caso, se aplica lo dispuesto en el 9.2 del RGPD.
En el marco de los servicios y productos prestados por el PROVEEDOR, XOBORG asume la condición de ENCARGADO DE TRATAMIENTO dentro del marco de la protección de datos personales, mientras que los CLIENTES la de RESPONSABLE DE TRATAMIENTO. Por ello, cualquier tratamiento que se realice en dicho software y en los servicios adicionales ofrecidos y al margen del contenido de las presentes Condiciones no será responsabilidad del PROVEEDOR.
8.1.- Obligaciones del responsable del tratamiento de los datos (CLIENTES)
De conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos- a partir de ahora, RGPD) y con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (a partir de ahora, LOPDGDD), los CLIENTES asumen la condición de RESPONSABLES DE TRATAMIENTO por el simple uso de este software proveído por XOBORG.
- De esta forma, los CLIENTES tienen que asegurarse de tratar los datos que les faciliten los pacientes de forma lícita y conforme a los principios básicos contenidos en la normativa aplicable de protección de datos de carácter personal. Además, tendrán que cumplir fielmente con la normativa de protección de datos y, al mismo tiempo, con las obligaciones y los términos expuestos en el Anexo I de la presente licencia.
- En este sentido, los CLIENTES están obligados a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el RGPD, incluida la eficacia de las medidas. Dichas medidas, en todo caso, deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.
- Cabe recordar que en dicho software y en los servicios adicionales desarrollados se van a tratar datos especialmente sensibles, como son los datos de salud e historias clínicas, por lo que los CLIENTES deben de comprometerse a hacer un uso responsable y lícito de los mismos. Y, en todo caso, realizar una comunicación de los mismos de conformidad con el Anexo I de la licencia que aquí nos ocupa.
8.2.- Obligaciones del encargado del tratamiento (XOBORG)
- Tratar la información conforme a las instrucciones recibidas del responsable del tratamiento, no aplicando ni utilizando dichos datos para una finalidad distinta a la relación de servicios detallados en el objeto del contrato y de conforme al Anexo I de la presente licencia.
- Comprometerse a observar el secreto profesional y mantener absoluta confidencialidad respecto de la información objeto de tratamiento, no comunicando a ningún tercero, ni siquiera para su conservación, los datos a los que haya podido tener acceso, sin el previo consentimiento por escrito del responsable.
- Tendrá que adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Dichas medidas están detalladas en el Anexo I anteriormente citado.
- Bloquear la información de los datos que obren en su poder en cualquier soporte o documentos en que conste la misma, una vez cumplida la prestación de los servicios objeto del contrato.
- Las demás recogidas en el Anexo I de la presente licencia.
8.3.- Medidas de seguridad técnicas y organizativas
De conformidad con lo establecido en los apartados 7.1 y 7.2, los CLIENTES y el PROVEEDOR se comprometen a observar las medidas de seguridad técnicas y organizativas adecuadas. Las medidas implementadas tendrán que ser acordes a lo exigido en materia de protección de datos de carácter personal, y en todo caso estrictas dado que se tratan datos especialmente sensibles, como datos de salud e historias clínicas.
Se comprometen, asimismo, a adoptar, actualizar y mantener todas las medidas organizativas y técnicas que sean necesarias para garantizar la seguridad y confidencialidad de los datos de carácter personal, impidiendo cualquier alteración, pérdida, tratamiento, procesamiento o acceso no autorizado. Las medidas implementadas por XOBORG quedan especificadas en el ANEXO I citado.
8.4.- Comunicación de datos a terceros y responsabilidad
XOBORG se compromete a no comunicar, ni permitir el acceso a datos, ni siquiera para su conservación, a ningún tercero que no cuente con la autorización debida. De la misma forma, XOBORG responderá de las sanciones administrativas y de los daños y perjuicios causados por el incumplimiento de las obligaciones que la legislación en materia de protección de datos, acordando indemnizar a la otra parte por la responsabilidad que la parte no infractora pueda sufrir como resultado del incumplimiento de la normativa de protección de datos de carácter personal.
8.5.- Cesión de datos y transferencia internacional de datos
XOBORG no cederá datos a terceros, salvo en caso de cumplimiento de obligaciones administrativas y judiciales y en los siguientes y estrictamente para la llevanza de los servicios indicados:
8.6.- Ejercicio de los derechos POLIARCO
El cliente puede ejercer en cualquier momento sus derechos reconocidos en el Reglamento General de Protección de Datos de acceso, rectificación y supresión de sus datos personales, así como también puede solicitar la portabilidad de los mismos, oponerse al tratamiento y solicitar la limitación de este, en este último caso únicamente se conservarán para el ejercicio o la defensa de reclamaciones. El cliente puede ejercer dichos derechos bien por correo electrónico (infoarrobaxoborg.com) o bien en la siguiente dirección: XOBORG Technologies S.L., Paseo Canalejas, 57-61 entre planta, oficina Num5, 37001 Salamanca.
En caso de que el cliente considere que sus datos no se atienden de manera correcta, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos, cuyos datos de contacto son: Teléfonos: 901.100. 099 91.266.35.17; Dirección Postal: C/ Jorge Juan, 6, 28001-Madrid; Sede Electrónica: https://sedeagpd.gob.es/sede-electronica-web/ y página web: www.agpd.es.
NOVENA.- CONFIDENCIALIDAD
El PROVEEDOR guardará confidencialidad sobre la información que le facilite el CLIENTE en o para la ejecución del Contrato o que por su propia naturaleza deba ser tratada como tal. Se excluye de la categoría de información confidencial toda aquella información que sea divulgada por el CLIENTE, aquella que haya de ser revelada de acuerdo con las leyes o con una resolución judicial o acto de autoridad competente. Este deber de secreto respecto a los datos de carácter personal subsistirá aún después de haber finalizado la presente relación contractual entre las partes.
DÉCIMA.- PROPIEDAD INTELECTUAL E INDUSTRIAL
10.1.- Reconocimiento de los derechos de propiedad intelectual e industrial de ARCHIVEX CLINICAL
El CLIENTE reconoce los derechos de Propiedad Intelectual e Industrial del PROVEEDOR sobre ARCHIVEX CLINICAL: a modo ejemplificativo: los códigos fuente, los datos, los manuales de usuario, los restantes elementos de apoyo, los símbolos de identificación, las contraseñas, los números de usuario y símbolos de seguridad de ARCHIVEX CLINICAL.
Al mismo tiempo, pertenecerán al PROVEEDOR de manera exclusiva todos derechos de propiedad intelectual e industrial; a título meramente enunciativo: imágenes, sonido, audio, vídeo, software, textos, marcas o logotipos, combinaciones de colores, estructura y diseño, selección de materiales usados, programas de ordenador necesarios para su funcionamiento, el código HTML, los applets de Java o Java Script, los controles de Actives acceso y uso, etc.).
Finalmente, todos los signos distintivos del PROVEEDOR (las marcas, las marcas de servicio, los nombres comerciales, los logotipos, los nombres de dominio y cualquier otra característica de la marca XOBORG) son propiedad exclusiva de XOBORG. Por ello, estas Condiciones no otorgan ningún derecho para usar los signos distintivos de XOBORG ya sea para fines comerciales o no comerciales.
10.2.- Consecuencias del reconocimiento de dichos derechos
En conclusión, las presentes Condiciones no implican en ningún modo la transferencia a los CLIENTES de la titularidad o de cualquier otro derecho de propiedad intelectual, marcario o cualquier otro sobre los contenidos del software. Por ello, los CLIENTES se comprometen a no realizar volcado del contenido a cualquier soporte incluyendo sistemas de recuperación de información, sin expresa autorización de XOBORG.
Cualquier uso no autorizado previamente por el PROVEEDOR será considerado un incumplimiento grave del derecho de marca o los derechos de propiedad intelectual o industrial del autor. Los CLIENTES serán también responsables del incumplimiento de estas obligaciones por parte de terceros o usuarios finales del software.
Quedan expresamente prohibidas, entre otras: la reproducción, modificación, adaptación, comunicación pública, mantenimiento, corrección de errores, cesión, venta, arrendamiento, préstamo y/o cualquier otro derecho de propiedad intelectual o industrial que pueda corresponderle sobre los contenidos del software objeto del presente contrato.
Las partes se remiten a la Ley de Propiedad Intelectual vigente para todas aquellas cuestiones no reguladas en este contrato.
10.3.- Especialidades para las funcionalidades de creación de tiendas online y uso de videollamadas
Para las opciones de creación de tiendas online y del uso del sistema de videollamadas, se prevén unos términos específicos que se indicarán en las comunicaciones mantenidas entre el PROVEEDOR y los CLIENTES.
UNDÉCIMA.- FORMAS DE FINALIZACIÓN DEL CONTRATO
11.1.- Formas de finalización del contrato
Las Partes podrán resolver el Contrato, con derecho a la indemnización de daños y perjuicios causados, en caso de incumplimiento de las obligaciones establecidas en el mismo. De acuerdo con las disposiciones generales contenidas en la legislación civil y a las específicas derivadas de las presentes Condiciones, nos podemos referir, a modo de ejemplo, a las siguientes:
- Nulidad y anulabilidad de alguna de las presentes Condiciones.
- Mutuo disenso o desistimiento mutuo.
- Rescisión.
- Resolución, entendida esta como aquella extinción que puede derivar de la declaración de voluntad de una de las partes contratantes o de una actuación judicial, debiendo estar fundada, en todo momento, en aquellos supuestos previstos por la ley como causas generadoras de dicha situación. Las causas están contenidas, entre otros, en los artículos 1124, 1295 y 1298 del Código Civil.
- Conclusión del periodo de suscripción, por falta de pago o por decisión del CLIENTE.
- Incumplimiento de las obligaciones por cualquiera de las partes, de conformidad con el contenido recogido en la Política de Uso.
11.2.- Consecuencias derivadas de la finalización
Una vez cumplido el periodo de suscripción o cuando se dé alguno de los supuestos contemplados con anterioridad, el servicio se dará por finalizado, esto es, el acceso al software será desactivado. En todo caso, existirá el respectivo derecho a la indemnización de daños y perjuicios causados por el incumplimiento de las obligaciones establecidas con anterioridad.
11.3.- Condiciones específicas para las funcionalidades de creación de tiendas online y servicio de videollamadas
Para las opciones de creación de tiendas online y del uso del sistema de videollamadas, se prevén unas condiciones específicas, las cuales se indicarán en las comunicaciones mantenidas entre el PROVEEDOR y los CLIENTES.
DUODÉCIMA.- ACTUALIZACIÓN DE LOS SERVICIOS
Podemos modificar estas Condiciones de uso debido a (i) la legislación aplicable, incluida, sin limitarse a ello, una modificación de la ley; (ii) una recomendación o requerimiento conforme a la legislación aplicable; (iii) la evolución de los servicios; (iv) motivos técnicos; (v) requisitos operativos o (vi) una modificación de los términos en beneficio del USUARIO. Le informaremos de dichos cambios, bien sea a través de la interfaz de usuario, o bien en un mensaje de correo electrónico o por otro medio razonable.
En este sentido, se recomienda que adapte, compruebe y actualice sus equipos informáticos y conexiones para procurar que dichos equipos consten de los requisitos técnicos básicos para poder continuar utilizando de manera correcta estos servicios. El PROVEEDOR, en ningún caso, estará obligado a poner a su disposición ninguna actualización, ni garantiza que se vaya a admitir la versión del sistema para el que adquirió (u obtuvo licencias de) software, aplicaciones, contenido u otros productos.
Trabajamos de forma continua para mejorar nuestros servicios y nos reservamos el derecho de modificarlos, eliminar características o dejar de proporcionar acceso a los mismos en cualquier momento. Podremos hacerlo, por ejemplo, si los contratos que celebramos con terceros ya no nos permiten seguir ofreciendo el material, si ya no fuera factible para nosotros ofrecerlo, debido a avances tecnológicos o si los comentarios de los clientes indican la necesidad de algún cambio.
DECIMOTERCERA.- LEGISLACIÓN APLICABLE Y JURISDICCIÓN
El presente contrato se regirá en su totalidad por la legislación española, siendo competentes los Juzgados y Tribunales españoles para conocer de cuantas cuestiones se susciten sobre su aplicación, interpretación y cumplimiento.
El CLIENTE, por medio de la aceptación de las condiciones dispuestas en este contrato, renuncia expresamente a cualquier fuero distinto, que, por aplicación de la Ley vigente, pudiera corresponderle. Se recomienda -antes de llegar a la vía judicial- la resolución de los conflictos generados mediante las alternativas extrajudiciales de la mediación o el arbitraje de consumo.
En todo caso, siendo estos insatisfechos, el CLIENTE se somete expresa y voluntariamente a la jurisdicción de los Juzgados y Tribunales de España, más concretamente a los Juzgados y Tribunales donde el PROVEEDOR tiene su sede principal, la ciudad de Salamanca.
ANEXO I: CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS
1.- Objeto del encargo del tratamiento
Mediante las presentes cláusulas se habilita al PROVEEDOR, como encargado del tratamiento, para tratar por cuenta del CLIENTE, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de Gestión y Mantenimiento de aplicación informática.
El tratamiento consistirá en PROGRAMA DE GESTIÓN DE CLÍNICAS, en los términos estipulados en el apartado primero: “OBJETO DEL CONTRATO”.
Las operaciones de tratamiento autorizadas serán las estrictamente necesarias para alcanzar la finalidad del encargo incluyendo, si se precisa, la recogida, registro, estructuración, modificación, conservación, extracción, consulta, cotejo, limitación, supresión y destrucción de datos.
2.- Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone a disposición del encargado del tratamiento, la siguiente información: Datos de potenciales clientes (datos identificativos e información comercial), datos de clientes (datos identificativos, información comercial, datos económicos, financieros y de seguros y transacciones de bienes y servicios), datos de pacientes (datos identificativos, datos de categorías especiales, características personales, circunstancias sociales y transacciones de bienes y servicios), datos de proveedores (datos identificativos, información comercial, datos económicos, financieros y de seguros y transacciones de bienes y servicios), datos de representantes legales y apoderados (datos identificativos), datos de personas de contacto (datos identificativos), datos de socios y administradores (datos identificativos y transacciones de bienes y servicios).
3.- Duración
La duración del presente acuerdo será conforme a la Cláusula Quinta de las Condiciones del contrato de licenciamiento de ARCHIVEX CLINICAL. Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable y suprimir cualquier copia que esté en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.
4.- Obligaciones del encargado del tratamiento
a. El encargado del tratamiento y todo su personal se obliga a:
Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable (cuando proceda), que contenga:
- El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos (si procede).
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
- Se autoriza al encargado a subcontratar un servicio de Cloud Computing o almacenamiento en la nube, cuyas prestaciones comportan los tratamientos siguientes: recogida, registro, estructuración, modificación, conservación, extracción, consulta, comunicación por transmisión, difusión, interconexión, cotejo, limitación, supresión y destrucción de datos. Además, se autoriza al encargado a subcontratar un proveedor de hosting web europeo, cuyas prestaciones comportan los tratamientos siguientes: recogida, registro, estructuración, modificación, conservación, extracción, consulta, comunicación por transmisión, difusión, interconexión, cotejo, limitación, supresión y destrucción de datos. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
- Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
- Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
- Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
- Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado de tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable de tratamiento. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
- El responsable de tratamiento deberá facilitar el derecho de información en el momento de la recogida de los datos.
- Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo de 48h (margen para cumplir con las 72h de plazo máximo establecido), y a través de correo electrónico correspondiente, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Corresponde al encargado del tratamiento, a petición del responsable de tratamiento, comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos. La comunicación contendrá, como mínimo, la información siguiente:
a. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
m. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
n. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
o. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
p. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la seguridad de los datos tratados. Las medidas de seguridad, de acuerdo con la Auditoría anual de protección de datos y el correspondiente análisis de riesgos realizados a XOBORG TECHNOLOGIES, S.L. en fecha 9 de noviembre de 2020, se resumen -a modo ejemplificativo- en las siguientes:
a) Medidas técnicas
- Protección del correo electrónico: anti-spam, antiphishing.
- Protección de la web: certificado SSL, cifrado de comunicaciones, captcha.
- Gestión de parches y detención de vulnerabilidades: reporting de vulnerabilidades, actualizaciones de seguridad.
- Realización de copias de seguridad diarias y actualizaciones automáticas de sistemas operativos y aplicaciones.
- Cifrado de ficheros.
- Cortafuegos, firewall, VPN y Proxy.
- Gestión centralizada de contraseñas, control de accesos y sesiones.
- Gestión de usuarios, roles y privilegios.
- Seguridad de la navegación web y correo electrónico.
- Seguridad para redes WI-FI y Ethernet.
b) Medidas organizativas
- Protocolo para la gestión de crisis y brechas de seguridad.
- Acuerdos de confidencialidad respecto de los trabajadores.
- Acceso a información parcial por parte de los trabajadores.
- Política de creación de copias de seguridad y actualizaciones.
c) Medidas físicas
- Puertas acorazadas.
- Sistemas de alarma y videovigilancia.
- Custodia de la documentación en papel bajo llave.
- Destrucción de documentación en papel.
En todo caso, el interesado podrá pedir información adicional al encargado del tratamiento sobre las medidas de seguridad adoptadas. Cabe recordar que, para evitar fugas de información, eventuales brechas de seguridad y riesgos críticos en las infraestructuras de la entidad, no se publican más datos sobre las medidas anteriormente expuestas (entre otros, proveedores que ofrecen dichos servicios).
a. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d. Seudonimizar y cifrar los datos personales, en su caso.
q. Cuando proceda, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
r. En el caso de que finalice la prestación del servicio, respecto a los datos, el encargado deberá: Devolver al RESPONSABLE los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación, conforme y según las normas sectoriales de aplicación. El ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
s. Una vez finalice el presente contrato, el encargado del tratamiento, previas instrucciones por escrito del responsable de tratamiento, debe devolver al responsable o trasmitir a otro encargado que designe el responsable -en un formato legible y portable- los datos incorporados en la aplicación Archivex Clinical, así como suprimir cualquier copia con datos que esté en su poder. Lo hará en un plazo de 10 días hábiles, previo requerimiento del responsable. No obstante, el encargado del tratamiento podrá mantener bloqueados los datos para atender las posibles responsabilidades de carácter administrativo o judicial.
5.- Obligaciones del responsable del tratamiento
Corresponde al responsable del tratamiento:
- Entregar al encargado los datos a los que se refiere la cláusula 2 de este Anexo.
- Realizar un análisis de los posibles riesgos derivados del tratamiento para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos y libertades de los interesados y, si se determinara que existen riesgos, realizar una evaluación de impacto para que se proceda a la implementación de medidas adecuadas para evitarlos o mitigarlos.
- Realizar las consultas previas que corresponda.
- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
- Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.