Acuerdo de Procesamiento de Datos

El presente Acuerdo tiene por objeto regular el tratamiento de datos personales por parte de VectorVida (el “Encargado”) en nombre del Cliente (el “Responsable”), de acuerdo con las instrucciones de este último y con el fin de prestar los servicios de infraestructura de salud e Inteligencia Artificial (IA) descritos en el contrato principal.

El Encargado tratará datos personales de identificación y datos personales sensibles (salud) consistentes en registros de audio y transcripciones clínicas. La finalidad del tratamiento es únicamente la prestación del servicio de asistencia administrativa médica y generación de notas clínicas.

VectorVida se compromete a:

• Tratamiento limitado: Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable.
• Confidencialidad: Garantizar que todo el personal autorizado para tratar datos personales esté sujeto a estrictos acuerdos de confidencialidad.
• Seguridad: Implementar las medidas de seguridad técnicas, físicas y administrativas necesarias para proteger los datos contra pérdida, robo, uso indebido o acceso no autorizado.
• Subprocesamiento: No subcontratar el tratamiento de datos a terceros sin informar previamente al Responsable. (Ejemplo: proveedores de servicios en la nube como AWS o Google Cloud, que cuentan con certificaciones de seguridad).

VectorVida declara que cuenta con:

• Encriptación de datos en tránsito y en reposo (mínimo AES-256).
• Protocolos de autenticación de dos factores para el acceso a la infraestructura.
• Registro de bitácoras (logs) de acceso a la información.
• Procesos de anonimización una vez generado el resumen clínico, según lo acordado.

En caso de detectar cualquier brecha de seguridad que afecte los datos personales bajo su resguardo, VectorVida lo notificará al Responsable de manera inmediata y, en todo caso, en un plazo no mayor a 48 horas tras tener conocimiento del incidente, colaborando en las medidas de remediación.

VectorVida asistirá al Responsable en la medida de lo posible para que este pueda cumplir con su obligación de responder a las solicitudes de los pacientes para ejercer sus derechos de Acceso, Rectificación, Cancelación u Oposición.

Al finalizar la prestación de los servicios o por instrucción del Responsable, VectorVida procederá a eliminar de forma definitiva los datos personales (incluyendo grabaciones de audio originales), salvo que la legislación mexicana exija su conservación por un tiempo determinado.

VectorVida pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo, permitiendo inspecciones o auditorías razonables previa solicitud por escrito.