Adenda de Procesamiento de Datos (DPA)
1. Introducción
Esta Adenda de Procesamiento de Datos ("DPA") forma parte de los Términos y Condiciones de INTEGRA y describe las obligaciones de protección de datos entre las partes.
A efectos de esta adenda, "Controlador" se refiere a la clínica o institución usuaria, y "Procesador" se refiere a INTEGRA como proveedor de software.
2. Definiciones
- Datos Personales: Cualquier información relacionada con una persona física identificada o identificable.
- Datos de Salud: Datos personales relativos a la salud física o mental de una persona.
- Procesamiento: Cualquier operación realizada sobre datos personales, incluyendo recopilación, almacenamiento, uso y eliminación.
- Subprocesador: Terceros contratados por INTEGRA para procesar datos en nombre del Controlador.
3. Roles y responsabilidades
3.1 La Clínica (Controlador) es responsable de:
- Determinar los fines y medios del procesamiento de datos personales
- Obtener los consentimientos necesarios de los pacientes
- Garantizar la base legal para el procesamiento
- Responder a solicitudes de derechos de los interesados
- Notificar brechas de seguridad a las autoridades cuando aplique
3.2 INTEGRA (Procesador) es responsable de:
- Procesar datos solo según las instrucciones del Controlador
- Implementar medidas de seguridad técnicas y organizativas
- Asistir al Controlador en el cumplimiento de sus obligaciones
- Notificar brechas de seguridad al Controlador sin demora
- Garantizar la confidencialidad del personal con acceso a datos
4. Medidas de seguridad
INTEGRA implementa las siguientes medidas de seguridad:
- Cifrado de contraseñas mediante hash seguro
- Control de acceso basado en roles (RBAC)
- Aislamiento de datos entre clínicas (multi-tenancy)
- Registro de auditoría de acciones críticas
- Tokens de sesión con expiración
- Inmutabilidad de documentos finalizados
- Conexiones cifradas (HTTPS/TLS)
- Copias de seguridad regulares
5. Subprocesadores
INTEGRA puede utilizar subprocesadores para proporcionar el servicio. Los subprocesadores actuales incluyen:
| Subprocesador | Propósito | Ubicación |
|---|---|---|
| Neon | Base de datos PostgreSQL | EE.UU. |
| Replit | Hosting de aplicación | EE.UU. |
| OpenAI | Funciones de IA (sin datos identificables) | EE.UU. |
INTEGRA notificará cambios significativos en subprocesadores con antelación razonable.
6. Transferencias internacionales
Los datos pueden ser procesados en servidores ubicados en Estados Unidos. INTEGRA garantiza que las transferencias se realizan con salvaguardas apropiadas, incluyendo:
- Uso de proveedores con certificaciones de seguridad reconocidas
- Cláusulas contractuales que garantizan protección de datos
- Evaluaciones de impacto cuando corresponda
7. Retención y eliminación de datos
INTEGRA retiene los datos mientras la cuenta del Controlador esté activa. Tras la terminación:
- El Controlador puede solicitar exportación de sus datos en un período razonable
- INTEGRA eliminará o anonimizará los datos según las instrucciones del Controlador
- Algunos datos pueden retenerse si existe obligación legal (ej: registros de auditoría)
8. Asistencia al Controlador
INTEGRA asistirá al Controlador en el cumplimiento de sus obligaciones respecto a:
- Solicitudes de derechos de los interesados (acceso, rectificación, eliminación)
- Evaluaciones de impacto de protección de datos
- Consultas con autoridades de supervisión
- Notificación de brechas de seguridad
9. Vigencia
Esta DPA entra en vigor con la aceptación de los Términos y Condiciones de INTEGRA y permanece vigente mientras exista una relación contractual entre las partes. Las obligaciones de confidencialidad y protección de datos sobreviven a la terminación del servicio.