Acuerdo de Tratamiento de Datos (DPA)

1. Partes del acuerdo

El presente Acuerdo de Tratamiento de Datos (en adelante, "DPA") se celebra entre:

• •Responsable del tratamiento: La clínica dental que contrata los servicios de sonrIA (en adelante, "el Cliente").
• •Encargado del tratamiento: sonrIA, operado por Miguel Angel Rojas Gorrindo (en adelante, "sonrIA" o "el Encargado").

2. Objeto del acuerdo

Este DPA regula el tratamiento de datos personales que sonrIA realiza por cuenta del Cliente en el marco de la prestación del servicio de asistente virtual por WhatsApp para clínicas dentales, conforme al artículo 28 del Reglamento General de Protección de Datos (RGPD) (UE) 2016/679.

sonrIA actúa exclusivamente como encargado del tratamiento, siguiendo las instrucciones documentadas del Cliente y sin utilizar los datos para fines propios.

3. Datos tratados

En el marco de la prestación del servicio, sonrIA podrá tratar las siguientes categorías de datos personales de los pacientes del Cliente:

• •Nombre y apellidos
• •Número de teléfono (WhatsApp)
• •Contenido de las conversaciones por WhatsApp
• •Datos de citas (fecha, hora, servicio solicitado)
• •Datos de salud limitados a la información que el paciente proporcione voluntariamente durante la conversación (tipo de tratamiento, sintomatología descrita)

4. Finalidad del tratamiento

Los datos personales serán tratados exclusivamente para las siguientes finalidades:

• •Responder a consultas de pacientes a través de WhatsApp mediante inteligencia artificial
• •Gestionar y agendar citas en nombre de la clínica
• •Enviar recordatorios de citas y seguimientos post-tratamiento
• •Realizar campañas de recuperación de pacientes inactivos (solo en planes que incluyan esta funcionalidad)
• •Generar estadísticas agregadas y anonimizadas sobre el rendimiento del servicio

5. Obligaciones del encargado (sonrIA)

sonrIA se compromete a:

• a)Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Cliente.
• b)No utilizar los datos para fines propios ni cederlos a terceros, salvo obligación legal o autorización expresa del Cliente.
• c)Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
• d)Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
• e)Asistir al Cliente en el cumplimiento de sus obligaciones relativas a los derechos de los interesados (acceso, rectificación, supresión, portabilidad, etc.).
• f)Notificar al Cliente sin dilación indebida (y en un plazo máximo de 72 horas) cualquier violación de seguridad que afecte a datos personales.
• g)Suprimir o devolver todos los datos personales una vez finalice la prestación del servicio, salvo que exista obligación legal de conservación.
• h)Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

6. Medidas de seguridad

sonrIA implementa las siguientes medidas técnicas y organizativas:

• •Cifrado de datos en tránsito mediante TLS/SSL
• •Cifrado de datos en reposo en las bases de datos
• •Control de acceso basado en roles con autenticación segura
• •Copias de seguridad periódicas con almacenamiento seguro
• •Monitorización y registro de accesos a los sistemas
• •Infraestructura alojada en centros de datos con certificación ISO 27001 dentro de la Unión Europea

7. Subencargados del tratamiento

El Cliente autoriza de forma general a sonrIA a recurrir a los siguientes subencargados del tratamiento para la prestación del servicio:

sonrIA informará al Cliente de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Cliente la oportunidad de oponerse a dichos cambios.

8. Transferencias internacionales

Algunos subencargados del tratamiento se encuentran fuera del Espacio Económico Europeo (EEE). En estos casos, las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), garantizando un nivel de protección equivalente al del RGPD.

9. Derechos de los interesados

Los pacientes (interesados) pueden ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición dirigiéndose al Cliente (la clínica dental) como responsable del tratamiento.

sonrIA asistirá al Cliente en la atención de estas solicitudes, proporcionando la información y los medios técnicos necesarios para dar respuesta en los plazos legales establecidos (máximo 1 mes).

10. Duración y resolución

Este DPA entrará en vigor en el momento en que el Cliente acepte las condiciones durante el proceso de configuración de su cuenta y permanecerá vigente mientras dure la relación contractual entre las partes.

A la finalización del servicio, sonrIA suprimirá todos los datos personales tratados por cuenta del Cliente en un plazo máximo de 30 días, salvo obligación legal de conservación. El Cliente podrá solicitar una copia de sus datos antes de la supresión.

11. Limitación de responsabilidad

11.1 Límite económico. La responsabilidad total y acumulada de sonrIA frente al Cliente por cualquier reclamación derivada de este DPA, del contrato de servicios o de cualquier causa relacionada, no podrá exceder en ningún caso el importe total de las cantidades efectivamente abonadas por el Cliente a sonrIA durante los doce (12) meses inmediatamente anteriores al hecho que origine la reclamación.

11.2 Exclusión de daños indirectos. En ningún caso sonrIA será responsable frente al Cliente ni frente a terceros por daños indirectos, incidentales, especiales, consecuenciales o punitivos, incluyendo sin limitación: lucro cesante, pérdida de ingresos, pérdida de pacientes, interrupción de negocio, pérdida de datos o daño reputacional, incluso si sonrIA hubiera sido advertido de la posibilidad de tales daños.

11.3 Responsabilidad del Cliente. El Cliente es el único responsable del tratamiento de datos de salud de sus pacientes y de obtener las bases jurídicas necesarias (consentimiento explícito u otra base del art. 9.2 RGPD). sonrIA no será responsable de los daños derivados del tratamiento de datos conforme a instrucciones del Cliente que resulten contrarias a la normativa aplicable.

11.4 Naturaleza del servicio. sonrIA proporciona un servicio de asistente virtual basado en inteligencia artificial. El Cliente reconoce que las respuestas generadas por IA pueden contener imprecisiones y que sonrIA no garantiza la exactitud absoluta de las respuestas del asistente. Las decisiones clínicas, médicas o de negocio basadas en la información proporcionada por el asistente son responsabilidad exclusiva del Cliente.

11.5 Fuerza mayor. Ninguna de las partes será responsable por el incumplimiento de sus obligaciones cuando dicho incumplimiento sea consecuencia de causas de fuerza mayor, incluyendo fallos en servicios de terceros (WhatsApp, proveedores de infraestructura), ataques informáticos, desastres naturales o decisiones de autoridades públicas.

12. Legislación aplicable

Este DPA se rige por el Reglamento General de Protección de Datos (UE) 2016/679, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa española y europea aplicable en materia de protección de datos.

13. Contacto

Para cualquier consulta relacionada con este DPA o el tratamiento de datos personales, puede contactar con sonrIA a través de los siguientes canales:

• •Email: [email protected]
• •Formulario de contacto: sonria.eu/#contacto

sonrIA se compromete a responder a todas las consultas relacionadas con la protección de datos en un plazo máximo de 5 días laborables.