Términos y condiciones adicionales del acuerdo de colaboración

EE. UU. | Canadá | Reino Unido

Condiciones de uso en EE. UU.

Los presentes Términos y condiciones («Términos») del Acuerdo de consulta («Acuerdo») se celebran entre Dandy («Dandy»o«nosotros») y usted y su consulta o centro dental («usted»), y entrarán en vigor en la fecha de celebración del Acuerdo de consulta («Fecha de entrada en vigor»). Si acepta estos Términos en nombre de una entidad, sociedad, corporación u organización, el término «usted» incluye a usted, a dicha entidad y a todos los usuarios de la misma, y por la presente declara que tiene la autoridad para vincular a todos dichos usuarios. Dandy y usted serán denominados individualmente «Parte» y, conjuntamente, las «Partes». A cambio de una contraprestación válida y valiosa, tal y como se establece en el Acuerdo, las Partes acuerdan lo siguiente:

1. Modificaciones. Las presentes Condiciones y el Contrato no podrán modificarse a menos que ambas partes lo acuerden por escrito. Si Dandy realiza cambios sustanciales en las Condiciones o en el Contrato, le notificará dicho cambio. Cualquier cambio sustancial entrará en vigor treinta (30) días después de que se lo notifiquemos, a menos que usted nos notifique por escrito que desea rescindir el Contrato. En ese caso, el cambio no surtirá efecto y Dandy respetará el Contrato vigente durante 60 días o hasta que devuelva el escáner y cualquier otro equipo de Dandy que pueda tener en su poder.
   
2. Acuerdo íntegro. El Acuerdo de la consulta, las presentes Condiciones, el Acuerdo de socios comerciales y la Política de TI para el equipo proporcionado por la consulta, si procede, constituyen nuestro acuerdo íntegro. Cualquier comunicación realizada por cualquier otro medio al margen de estos documentos no tendrá carácter vinculante. El presente Acuerdo sustituye a cualquier otro acuerdo contradictorio que hayamos podido celebrar en el pasado.
   
3. Intransferibilidad. Dandy mantiene una relación de colaboración con usted, por lo que no podrá transferir ni ceder el Contrato y las Condiciones a un tercero, salvo que ambas partes lo acuerden por escrito.
   
4. Cumplimiento normativo. Ambas partes se comprometen a cumplir todas las leyes y normativas sanitarias aplicables en los Estados Unidos, incluida la HIPAA, entre otras.
   
5. Indemnización. Usted indemnizará, defenderá y eximirá de responsabilidad a Dandy frente a cualquier reclamación, causa de acción, daño, deuda, responsabilidad, pérdida, obligación, pago, coste y gasto (incluidos los gastos legales) que se deriven o estén relacionados con: (a) el incumplimiento por su parte de cualquier cláusula del Acuerdo, de las presentes Condiciones y/o del Acuerdo de Colaboradores Comerciales; (b) su incumplimiento de cualquier cláusula de cualquier acuerdo entre usted y cualquier paciente, o cualquier acto o omisión negligente, imprudente o doloso en relación con la atención que preste a un paciente; (c) el suministro por su parte de información, escaneos, documentos o datos incorrectos o incompletos a Dandy, o cualquier incumplimiento en el suministro oportuno a Dandy de cualquier información que esta le solicite a usted, a su consulta o a cualquiera de sus dentistas; y (d) todas y cada una de las relaciones con organismos administrativos federales, estatales o locales, organismos reguladores, organismos de concesión de licencias u organismos profesionales.
   
6. Arbitraje. Dandy espera que nunca surjan desacuerdos significativos en relación con nuestro Acuerdo, estas Condiciones y el Acuerdo de Colaboradores Comerciales, y Dandy prefiere, sin duda, resolver cualquier desacuerdo de la forma más amistosa posible. El objetivo de Dandy es colaborar estrechamente con usted y su misión es apoyar su práctica profesional. Si surgiera alguna cuestión que no pudiéramos resolver mediante una solución amistosa, ambas partes nos comprometemos a resolverla mediante arbitraje ante JAMS en el estado de Nueva York, con arreglo a la legislación de Nueva York.
7. Impuesto sobre las ventas. Dandy aplicará el impuesto sobre las ventas correspondiente a nuestros productos, equipos y servicios en función de su ubicación geográfica. El importe del impuesto sobre las ventas aparecerá en su factura mensual, y el pago se cobrará tal y como se describe en el presente documento, así como en su Acuerdo de Práctica. Si está exento del pago del impuesto sobre las ventas, se compromete a proporcionar a Dandy un certificado de exención válido y aceptable para cada jurisdicción fiscal en la que se solicite dicha exención.
   

Acuerdo de colaboración comercial

El presente ACUERDO DE ASOCIADO COMERCIAL DE LA HIPAA («Anexo») entrará en vigor en la fecha de formalización del Acuerdo de la consulta («Fecha de entrada en vigor») entre la consulta dental identificada en dicho Acuerdo («Entidad cubierta») y Dandy («AC»).  El presente Anexo, que sustituye a cualquier acuerdo de socio comercial anterior entre las partes, modifica, complementa y forma parte del Acuerdo de Práctica, celebrado entre la Entidad Cubierta y el BA, tal y como pueda ser modificado ocasionalmente (el«Acuerdo»).

CONSIDERANDOS

CONSIDERANDO que la Entidad Afectada es una «entidad afectada», tal y como se define dicho término en el artículo 160.103 del Título 45 del Código de Regulaciones Federales (C.F.R.);

CONSIDERANDO QUE BA podrá, en nombre de la Entidad Afectada, crear, recibir, conservar o transmitir determinada Información Sanitaria Protegida (tal y como se define a continuación) con el fin de prestar servicios a la Entidad Afectada de conformidad con el Acuerdo;

CONSIDERANDO que la Entidad Afectada está sujeta a los requisitos de simplificación administrativa de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 y a los reglamentos promulgados en virtud de la misma, incluidas las Normas de Privacidad de la Información Sanitaria Identificable Individualmente y las Normas de Seguridad para la Protección de la Información Sanitaria Protegida Electrónica, recogidas en el Título 45 del Código de Regulaciones Federales (C.F.R.), Partes 160 y 164 (en conjunto, «Normativade Privacidad y Seguridad»);

CONSIDERANDO que el Reglamento sobre Privacidad y Seguridad exige que la Entidad Afectada celebre un contrato con el Proveedor de Servicios Externos a fin de garantizar determinadas medidas de protección de la privacidad y la seguridad de la Información Sanitaria Protegida, y que dicho Reglamento prohíbe la divulgación de Información Sanitaria Protegida por parte de la Entidad Afectada al Proveedor de Servicios Externos si no existe dicho contrato;

CONSIDERANDO que el presente anexo solo será aplicable en el caso de que BA cumpla, en relación con la entidad cubierta, la definición de «socio comercial» establecida en el artículo 160.103 del título 45 del Código de Regulaciones Federales (C.F.R.).

En consideración a lo anterior, y a cambio de otra contraprestación válida y valiosa, cuyo recibo y idoneidad se reconocen por la presente, las partes acuerdan lo siguiente:

1. Definiciones

1. El término «violación»tendrá el significado que se le atribuye en el artículo 45 C.F.R. § 164.402, tal y como se aplica a la información médica protegida (PHI) no protegida creada, recibida, conservada o transmitida por el agente de negocios (BA) desde o en nombre de la entidad cubierta.
2. Por«información sanitaria protegida en formato electrónico»o«ePHI»se entenderá el significado que se atribuye al término «información sanitaria protegida en formato electrónico» en el artículo 45 C.F.R. § 160.103, tal y como se aplica a la información creada, recibida, conservada o transmitida por el agente de negocios (BA) procedente de la entidad cubierta o en nombre de esta.
3. Por«información sanitaria protegida»o«PHI»se entenderá el significado que se atribuye al término «información sanitaria protegida» en el artículo 45 C.F.R. § 160.103, tal y como se aplica a la información creada, recibida, conservada o transmitida por BA procedente de la entidad cubierta o en nombre de esta.
4. Por«suceso notificable»se entiende: (1) cualquier uso o divulgación de información médica protegida (PHI) no previsto en el presente anexo; (2) cualquier incidente de seguridad; (3) cualquier filtración de información médica protegida no protegida; o (4) cualquier incidente relacionado con datos que afecte a la información médica protegida (PHI) y para el que se exija la notificación de la filtración de datos en virtud de la legislación extranjera, federal o estatal aplicable.
5. Por«Servicios»se entiende los servicios prestados por BA a la Entidad cubierta, tal y como se establece en el Contrato.
6. El término «incidente de seguridad»tendrá el significado que se le atribuye al término «incidente de seguridad» en el artículo 45 C.F.R. § 164.304, tal y como se aplica a la información médica protegida electrónica (ePHI) creada, recibida, conservada o transmitida por el agente de seguridad (BA) desde la entidad cubierta o en nombre de esta.

Los términos utilizados en el presente Anexo que no se definan expresamente en él tendrán el mismo significado que los términos recogidos en el Reglamento de Privacidad y Seguridad, incluyendo, entre otros, los artículos 160.103 y 164.501 del título 45 del Código de Regulaciones Federales (C.F.R.). Cualquier inconsistencia en la definición de un término se resolverá a favor del significado que permita el cumplimiento de la HIPAA.

2. Usos y divulgaciones permitidos de la información médica protegida (PHI)

Salvo que se establezca lo contrario en el presente Anexo o en el Contrato, BA podrá llevar a cabo cualquiera o todas las siguientes acciones:

1. Uso y divulgación en virtud del Acuerdo. Utilizar o divulgar la información médica protegida (PHI) para desempeñar funciones, actividades o prestar servicios para la Entidad Afectada, o en su nombre, en la medida en que lo permita el Acuerdo, siempre que dicho uso o divulgación no infrinja la Norma de Privacidad ni ninguna ley estatal aplicable si lo llevara a cabo la Entidad Afectada.  No obstante lo anterior, el BA podrá utilizar y divulgar la PHI para los fines identificados en los apartados (2), (3) y (5) de la presente Sección 2, incluso si la Entidad Abarcada no pudiera hacerlo en virtud de la Norma de Privacidad.
2. Uso con fines administrativos o para el cumplimiento de obligaciones legales. Utilizar la información médica protegida (PHI), pero solo en la medida mínima necesaria, para la gestión y administración adecuadas de BA, para las prácticas de cobro de deudas de BA o para el cumplimiento de las obligaciones legales de BA.
3. Divulgación por motivos administrativos o de cumplimiento de obligaciones legales. Se divulgará la información médica protegida (PHI), pero solo en la medida mínima necesaria, para la gestión y administración adecuadas de BA o para el cumplimiento de las obligaciones legales de BA, siempre que:
   1. La divulgación de dicha información es obligatoria por ley; o
   2. BA obtiene garantías razonables del tercero al que se divulga la PHI de que dicha información se mantendrá confidencial y solo se utilizará o divulgará posteriormente en la medida en que lo exija la ley o para el fin para el que se le haya facilitado a dicho tercero (fin que deberá ser compatible con las limitaciones impuestas a BA en virtud del presente anexo), y dicho tercero se compromete a notificar sin demora a BA cualquier caso del que tenga conocimiento en el que se haya vulnerado la confidencialidad de la información.
4. Uso para la notificación de infracciones. Utilice la información médica protegida (PHI) para notificar infracciones de la ley a las autoridades federales, estatales y locales competentes, de conformidad con el artículo 45 C.F.R. § 164.502(j).
5. Uso para servicios de agregación de datos. Utilizar la información médica protegida (PHI) para prestar servicios de agregación de datos relacionados con las operaciones de atención sanitaria de la entidad cubierta, según lo permitido por el artículo 45 C.F.R. §164.504(e)(2)(i)(B).
6. Información anonimizada. Utilice la información médica protegida (PHI) para crear información anonimizada de conformidad con los artículos 164.502(d) y 164.514(a)-(c) del título 45 del Código de Regulaciones Federales (CFR).

3. Obligaciones del socio comercial

1. Limitado por el contrato y la ley. BA no podrá utilizar ni divulgar la información médica protegida (PHI) salvo en los casos permitidos o exigidos por el presente anexo y el contrato, o según lo exija la ley.
2. Cumplimiento de la HIPAA. En la medida en que el Proveedor de Servicios sea responsable de cumplir una obligación de la Entidad Afectada en virtud de la HIPAA, de conformidad con el presente Anexo o con el Contrato, el Proveedor de Servicios deberá cumplir los requisitos de la HIPAA que sean de aplicación a la Entidad Afectada en el cumplimiento de dicha obligación.
3. Medidas de seguridad adecuadas para la información médica protegida (PHI). BA deberá aplicar y mantener medidas de seguridad adecuadas para impedir el uso o la divulgación de la información médica protegida (PHI) de cualquier forma distinta a la permitida por el Acuerdo y el presente Anexo. 

4. Hechos que deben comunicarse

1. Recurso a subcontratistas. Si BA divulga información médica protegida (PHI) a un subcontratista o permite que un subcontratista cree, reciba, conserve o transmita PHI en su nombre, BA exigirá al subcontratista que firme un acuerdo por escrito en el que se comprometa a cumplir todos los términos del presente anexo. Si BA tiene conocimiento de un patrón de actividad o práctica de un subcontratista que constituya un incumplimiento sustancial o una violación del acuerdo escrito entre BA y el subcontratista, BA tomará las medidas razonables para subsanar dicho incumplimiento o poner fin a la violación, según corresponda, o rescindirá dicho acuerdo escrito con dicho subcontratista.
2. Acceso de los organismos gubernamentales a las prácticas internas, los libros y los registros. BA se compromete a poner a disposición del Secretario del Departamento de Salud y Servicios Humanos de los Estados Unidos sus prácticas internas, libros y registros relacionados con el uso y la divulgación de la información médica protegida (PHI) que reciba de una entidad cubierta, o que cree o reciba en nombre de esta, con el fin de determinar el cumplimiento de dicha entidad cubierta con la HIPAA. No se considerará que BA ha renunciado a ningún privilegio abogado-cliente, contable-cliente u otro privilegio legal en virtud del cumplimiento de esta disposición por parte de BA.
3. Acceso y modificación de la información médica protegida (PHI). En la medida en que el Proveedor de Servicios (BA) conserve información médica protegida (PHI) en un conjunto de registros designado, el BA deberá: (a) poner a disposición de la(s) persona(s) identificada(s) por la Entidad Afectada como con derecho a acceder a dicha PHI la información especificada por el Socio, y (b) realizar las modificaciones en dicha PHI dentro de un conjunto de registros designado según lo indique o acuerde la Entidad Afectada. BA proporcionará dicho acceso e incorporará dichas modificaciones en el plazo y de la forma especificados por la Entidad cubierta, de conformidad con los requisitos de 45 C.F.R. § 164.524, § 164.526 y la legislación estatal aplicable.
4. Relación de las divulgaciones. A petición de la entidad afectada, BA facilitará a esta una relación de las divulgaciones de la información médica protegida (PHI) de una persona en el plazo y de la forma que cumplan los requisitos establecidos en el artículo 45 C.F.R. § 164.528 y, a partir de la fecha de entrada en vigor aplicable, en el artículo 13405(c) de la Ley HITECH y en cualquier normativa promulgada en virtud de la misma.
5. Lo estrictamente necesario. BA se compromete a cumplir los requisitos de «lo estrictamente necesario» establecidos por la HIPAA.
6. Comunicación con otros socios comerciales. En el marco de la prestación de sus servicios, actividades y/o funciones a la Entidad Abarcada o en nombre de esta, el Socio Comercial podrá revelar información, incluida la PHI, a otros socios comerciales de la Entidad Abarcada.  Del mismo modo, el socio comercial podrá utilizar y divulgar información, incluida la PHI, recibida de otros socios comerciales de la Entidad cubierta, como si dicha información hubiera sido recibida de la Entidad cubierta o procediera de ella. Las partes acuerdan que es responsabilidad de la Entidad cubierta garantizar y mantener los acuerdos de socio comercial con sus demás socios comerciales.
7. BA deberá comunicar a la Entidad Afectada cualquier Suceso Notificable del que tenga conocimiento. Todas estas notificaciones deberán realizarse sin demoras injustificadas y, en ningún caso, más tarde de quince (15) días hábiles tras el descubrimiento por parte de BA de un Suceso Notificable.
8. BA cooperará con la entidad afectada en la investigación de un incidente notificable y le prestará asistencia para determinar si dicho incidente constituye una filtración de información médica protegida no protegida.
9. BA mitigará, en la medida de lo posible, cualquier efecto perjudicial del que tenga conocimiento en relación con un hecho notificable.
10. Las partes reconocen y acuerdan que esta sección constituye una notificación de BA a la Entidad Afectada sobre la existencia y el registro continuos de incidentes de seguridad intentados pero fallidos que no dan lugar a un acceso no autorizado a la Información Médica Protegida (PHI), ni a su uso, pérdida, modificación, destrucción o divulgación, tales como pings y otros ataques de difusión contra el cortafuegos de BA, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio fallidos o cualquier combinación de los mismos.

5. Obligaciones de la entidad sujeta a la normativa

1. Aviso sobre prácticas de privacidad. La entidad sujeta a la normativa deberá notificar por escrito a BA cualquier limitación incluida en su aviso sobre prácticas de privacidad, en la medida en que dichas limitaciones puedan afectar al uso o la divulgación de la información médica protegida (PHI) por parte de BA.
2. Notificación de revocaciones. La entidad afectada deberá notificar por escrito a BA cualquier cambio o revocación de la autorización otorgada por una persona para utilizar o divulgar la información médica protegida, en la medida en que dichos cambios o revocaciones puedan afectar al uso o la divulgación de dicha información por parte de BA.
3. Notificación de restricciones. La Entidad Afectada deberá notificar por escrito a BA cualquier restricción al uso o a la divulgación de la PHI que la Entidad Afectada haya aceptado o esté obligada a cumplir de conformidad con el artículo 45 C.F.R. § 164.522, en la medida en que dicha restricción pueda afectar al uso o a la divulgación de la PHI por parte de BA.
4. Solicitudes admisibles. La entidad sujeta a la ley no podrá solicitar al agente de negocios que utilice o divulgue información médica protegida (PHI) de ninguna manera que no estuviera permitida en virtud de la HIPAA u otra legislación federal o estatal aplicable si fuera la propia entidad sujeta a la ley quien lo hiciera.

6. Vigencia y rescisión

1. Vigencia. La vigencia del presente Anexo será la misma que la del Contrato, pero finalizará en el momento en que se produzca la primera de las siguientes circunstancias:
   1. El contrato expire o se rescinda, con o sin causa justificada; 
   2. El presente anexo se rescinde por la causa descrita en la sección 5.2 que figura a continuación; 
   3. Las partes acuerdan de mutuo acuerdo rescindir el presente anexo; o
   4. El presente anexo queda sin efecto en virtud de la legislación federal, estatal o local aplicable. 
2. Despido por causa justificada.
   1. En caso de que la Entidad Afectada determine que BA ha incumplido alguna cláusula sustancial del presente Anexo, la Entidad Afectada deberá notificar por escrito a BA dicho incumplimiento, con el detalle suficiente para que BA pueda comprender la naturaleza específica del mismo y se le brinde la oportunidad de subsanarlo; sin embargo, si BA no subsana el incumplimiento en un plazo de treinta (30) días a partir de la recepción de dicha notificación, la Entidad Afectada podrá rescindir el presente Anexo y el Contrato. 
   2. En caso de que BA determine que la Entidad Afectada ha incumplido una cláusula esencial del presente Anexo, BA deberá notificar por escrito a la Entidad Afectada dicho incumplimiento, con el detalle suficiente para que esta pueda comprender la naturaleza específica del mismo y se le brinde la oportunidad de subsanarlo; siempre que, no obstante, si la Entidad Afectada no subsana el incumplimiento en un plazo de treinta (30) días a partir de la recepción de dicha notificación, BA podrá rescindir el presente Anexo y el Contrato.
3. Efecto de la rescisión
   1. Sin perjuicio de lo dispuesto en la sección 5.3(b) que figura a continuación, en caso de rescisión del presente Anexo por cualquier motivo, BA deberá devolver o destruir toda la información médica protegida (PHI) que aún conserve en cualquier formato. BA no conservará ninguna copia de dicha información médica protegida. 
   2. Si no es posible devolver o destruir toda o parte de la información médica protegida (PHI), el agente de negocios deberá:
      1. Conserve únicamente aquellos datos de información médica protegida (PHI) cuya devolución o destrucción no sea viable;
      2. Devolver a la entidad cubierta o destruir la información médica protegida (PHI) restante que el proveedor de servicios externos (BA) aún conserve en cualquier formato;
      3. Ampliar las protecciones del presente Anexo a toda la PHI conservada, seguir aplicando las medidas de seguridad adecuadas y cumplir con la Norma de Seguridad en lo que respecta a la ePHI, con el fin de impedir el uso o la divulgación de la PHI conservada, salvo en los casos previstos en el presente Anexo, mientras el BA conserve dicha PHI;
      4. No utilizar ni divulgar la información médica protegida (PHI) conservada por BA salvo para los fines para los que se conservó dicha información, y con sujeción a las mismas condiciones establecidas en el presente anexo que se aplicaban antes de la rescisión; y
      5. Devuelva la información a la entidad cubierta o destruya la información médica protegida (PHI) que obre en poder del agente de negocios (BA) tan pronto como sea posible.
   3. Estas disposiciones se aplicarán a la información médica protegida que obre en poder de los subcontratistas o agentes de BA.
   4. Lo dispuesto en la presente sección 5.3 seguirá vigente tras la rescisión del presente anexo. 

7. Varios

1. Referencias normativas. Toda referencia que se haga en el presente anexo a un artículo de la HIPAA se entenderá como el artículo vigente o modificado en el momento de la firma o modificación del presente anexo.
2. Modificación; ausencia de renuncia. A partir de la fecha de entrada en vigor de cualquier ley federal que modifique o amplíe la HIPAA, cualquier directriz o normativa provisional, provisional definitiva o definitiva promulgada en virtud de la HIPAA, o en virtud de cualquier ley federal que modifique o amplíe la HIPAA (en conjunto, las«Normativas de la HIPAA») que sean aplicables al presente Anexo o a cualquier modificación de las Normativas de la HIPAA, el presente Anexo se modificará automáticamente, de modo que las obligaciones impuestas a la Entidad Afectada y al BA sigan cumpliendo dichos requisitos, salvo que las partes acuerden lo contrario de mutuo consentimiento.  Las partes adoptarán todas las medidas necesarias para reflejar expresamente dichas modificaciones automáticas del presente Anexo en cada momento. Salvo que se disponga lo contrario en el presente apartado (B), no se realizará ninguna renuncia, cambio, modificación o enmienda de ninguna disposición del presente Anexo a menos que se haga por escrito y esté firmada por las partes del mismo.  El hecho de que cualquiera de las partes no insista en algún momento en el cumplimiento estricto de cualquier condición, promesa, acuerdo o entendimiento establecido en el presente documento no se interpretará como una renuncia o abandono del derecho a insistir en el cumplimiento estricto de la misma condición, promesa, acuerdo o entendimiento en el futuro.
3. Interpretación. Cualquier ambigüedad en el presente Anexo se resolverá a favor de un significado que permita el cumplimiento de la HIPAA. Los títulos y encabezamientos que figuran al principio de cada sección del presente documento se incluyen únicamente para facilitar la consulta y no se interpretarán en modo alguno como parte del presente Anexo ni como una limitación del alcance de la disposición concreta a la que se refieren.  En caso de inconsistencia entre las disposiciones del presente Anexo y los términos obligatorios de la HIPAA, tal y como puedan ser modificados expresamente de vez en cuando por el Secretario, o como resultado de interpretaciones del Secretario, de un tribunal u otra agencia reguladora con autoridad sobre las partes, prevalecerá la interpretación del Secretario, de dicho tribunal o de la agencia reguladora.
4. Relación con las disposiciones del Contrato. En caso de que alguna disposición del presente Anexo sea contraria a una disposición del Contrato, prevalecerá la disposición del presente Anexo. En los demás casos, el presente Anexo se interpretará con arreglo a los términos del Contrato y de conformidad con ellos.
5. Relación entre las partes. Las partes del presente Anexo son contratistas independientes. Ninguna de las disposiciones del presente Anexo tiene por objeto crear, ni deberá interpretarse en el sentido de crear, relación alguna entre la Entidad Afectada y BA distinta de la de contratistas independientes. Salvo que se indique expresamente lo contrario en el presente documento, ninguna de las partes, ni ninguno de sus representantes, se considerará agente, empleado o representante de la otra parte.
6. Ausencia de terceros beneficiarios. El presente Anexo se celebra entre las partes del mismo. Ninguna disposición expresa o implícita del presente Anexo tiene por objeto conferir, ni conferirá, derecho, recurso, obligación o responsabilidad de ningún tipo a ninguna persona distinta de la Entidad Afectada y BA, así como a sus respectivos sucesores y cesionarios.
7. Disposición inválida o inaplicable. Las disposiciones del presente Anexo serán separables. La invalidez o inaplicabilidad de cualquier disposición concreta o parte de dicha disposición del presente Anexo se interpretará, a todos los efectos, como si dicha disposición inválida o inaplicable o parte de dicha disposición se hubiera omitido, y no afectará a la validez y aplicabilidad de las demás disposiciones del presente documento ni a las partes de dicha disposición.
8. Cesión. Los derechos y obligaciones de las partes en relación con la cesión del presente Anexo se regirán por la cláusula de cesión establecida en el Contrato. En caso de que el Contrato no contenga una cláusula de cesión, ninguna de las partes podrá ceder sus derechos ni delegar sus deberes u obligaciones en virtud del presente Anexo sin el consentimiento previo por escrito de la otra parte, consentimiento que no podrá denegarse sin motivo justificado.  El presente Anexo será vinculante para las partes del mismo y sus respectivos sucesores, y redundará en beneficio de estos.
9. Legislación aplicable. El presente Anexo se interpretará, aplicará y regirá con arreglo a la legislación aplicable establecida en el Contrato, salvo en la medida en que la legislación federal aplicable tenga prioridad. En caso de que el Contrato no especifique la legislación aplicable, el presente Anexo se interpretará, aplicará y regirá con arreglo a las leyes del Estado de Nueva York, salvo en la medida en que la legislación federal aplicable tenga prioridad.
10. Notificaciones. Todas las notificaciones previstas en el presente contrato deberán realizarse por escrito y entregarse en mano, enviarse por correo o remitirse de cualquier otra forma que acuerden las partes, a la siguiente dirección:

A la entidad afectada: dirección de correo electrónico de la consulta indicada en el contrato de la consulta

Para BA: Dandy

A la atención del Departamento Jurídico

N.º 11 de Park Place, apartamento 502

Nueva York, NY 10007

[email protected]

Cada parte se reserva el derecho a modificar la dirección para la recepción de notificaciones durante la vigencia del presente anexo, previa notificación por escrito a las demás partes.

1. Ejemplares. El presente anexo podrá formalizarse en ejemplares separados, ninguno de los cuales tendrá que contener las firmas de ambas partes, y cada uno de ellos, una vez formalizado, se considerará un original; dichos ejemplares constituirán en su conjunto un único y mismo documento.

Política de TI para equipos proporcionados por la consulta

Esta política se aplica únicamente a las consultas que utilizan su propio ordenador portátil y escáner en el marco de su relación con Dandy.

Política de sistemas estándar:

Para garantizar la calidad y la coherencia de los casos enviados a Dandy Labs, usted se compromete a cumplir los siguientes requisitos en relación con su infraestructura informática:

1. Usted se compromete a utilizar exclusivamente el escáner intraoral 3Shape TRIOS 3, TRIOS 4 o TRIOS 5.
2. Usted se compromete a proporcionar una conexión Wi-Fi estable con una velocidad mínima de 15 Mbps de subida y 15 Mbps de bajada en todos los lugares en los que se envíen los casos.
3. Usted se compromete a utilizar un ordenador con el escáner intraoral 3Shape que cumpla los siguientes requisitos del sistema:
4. Requisitos mínimos del PC:

• Procesador: i7-10850H
• Memoria: 16 GB DDR4
• Disco: 256 GB
• Tarjeta gráfica: Quadro T1000 (4 GB)
• Sistema operativo: Windows 11 Pro

Requisitos del sistema:

• Procesador: i7 12850HX
• Memoria: 32 GB DDR5
• Disco: SSD de 1 TB
• Tarjeta gráfica: NVIDIA® A3000
• Sistema operativo: Windows 11 Pro
• Dispone de una cámara web en funcionamiento

1. Usted se compromete a actualizar el software Trios a la versión 1.7.19.1 como mínimo.
2. Usted se compromete a guardar y enviar todos los expedientes de los casos al almacenamiento local del ordenador.
3. Usted acepta conceder al equipo de atención al cliente de Dandy acceso a Splashtop mediante una contraseña compartida acordada mutuamente, que permanecerá vigente mientras dure la relación.
4. Usted acepta instalar DandyUploader en el perfil de un usuario local y utilizará dicho perfil local en relación con su uso del software TRIOS.
5. Si utiliza un programa antivirus, acepta conceder permiso a la siguiente ruta de archivo:

• C:\Usuarios\Dandy\AppData\Roaming\DandyUploader
• C:\Usuarios\Dandy\AppData\Roaming\@orthly
• C:\Archivos de programa\Chairside
• C:\Archivos de programa\DandyUploader
• C:\Archivos de programa\UploaderMedit

6. Si su consulta dispone de un cortafuegos de red, ya sea físico o basado en la web, le rogamos que permita todo el tráfico de los siguientes dominios:

• *.meetdandy.com
• orthly.com
• *.orthly.com
• dandyserv.net
• *.dandyserv.net
• *dandy.dental
• .api.splashtop.com
  • Puerto 443
  • Permitir tanto HTTP sobre TLS como protocolos distintos de HTTP sobre TLS

Condiciones de servicio para Canadá, incluido el Acuerdo de privacidad de datos

Las presentes Condiciones Generales («Condiciones») del Contrato de Colaboración («Contrato») se celebran entre Zima Labs Canada, ULC, que opera bajo el nombre comercial de Dandy («Dandy»o«nosotros»), y usted y su consulta o centro dental («usted»), y entrarán en vigor en la fecha de celebración del Contrato de Colaboración («Fecha de entrada en vigor»). Si acepta estos Términos en nombre de una entidad, sociedad, corporación u organización, el término «usted» incluye a usted, a dicha entidad y a todos los usuarios de la misma, y por la presente declara que tiene la autoridad para vincular a todos dichos usuarios. Dandy y usted serán denominados individualmente «Parte» y, conjuntamente, las «Partes». A cambio de la contraprestación válida y valiosa establecida en el Acuerdo, las Partes acuerdan lo siguiente:

1. Modificaciones. Las presentes Condiciones y el Contrato no podrán modificarse a menos que ambas partes lo acuerden por escrito. Si Dandy realiza cambios sustanciales en las Condiciones o en el Contrato, Dandy le notificará dichos cambios. Cualquier cambio sustancial entrará en vigor treinta (30) días después de que se lo notifiquemos, a menos que usted nos notifique por escrito que desea rescindir el Contrato. En ese caso, el cambio no surtirá efecto y Dandy respetará el Contrato vigente durante 60 días o hasta que devuelva el escáner y cualquier otro equipo de Dandy que pueda tener en su poder.
2. Acuerdo íntegro. El Acuerdo de la consulta, las presentes Condiciones, el Acuerdo de privacidad de datos y la Política de TI para el equipo proporcionado por la consulta, si procede, constituyen nuestro acuerdo íntegro. Cualquier comunicación realizada por cualquier otro medio al margen de estos documentos no tendrá carácter vinculante. El presente Acuerdo sustituye a cualquier otro acuerdo contradictorio que hayamos podido celebrar en el pasado.
3. Intransferibilidad. Dandy mantiene una relación de colaboración con usted, por lo que no podrá transferir ni ceder el Contrato y las Condiciones a un tercero, salvo que ambas partes lo acuerden por escrito.
4. Cumplimiento normativo. Ambas partes se comprometen a cumplir todas las leyes y normativas sanitarias aplicables en Canadá, incluidas, entre otras, las leyes federales y provinciales en materia de protección de datos.
5. Indemnización. Usted indemnizará, defenderá y eximirá de responsabilidad a Dandy frente a cualquier reclamación, causa de acción, daño, deuda, responsabilidad, pérdida, obligación, pago, coste y gasto (incluidos los gastos legales) que se deriven o estén relacionados con: (a) el incumplimiento por su parte de cualquier cláusula del Contrato, de las presentes Condiciones y/o del Acuerdo de privacidad de datos; (b) su incumplimiento de cualquier cláusula de cualquier acuerdo entre usted y cualquier paciente, o cualquier acto o omisión negligente, imprudente o doloso en relación con la atención que preste a un paciente; (c) el suministro por su parte de información, escaneos, documentos o datos incorrectos o incompletos a Dandy, o cualquier incumplimiento en el suministro oportuno a Dandy de cualquier información que esta le solicite a usted, a su consulta o a cualquiera de sus dentistas; y (d) todas y cada una de las relaciones con organismos administrativos federales, estatales o locales, organismos reguladores, organismos de concesión de licencias u organismos profesionales.
6. Arbitraje. Dandy espera que nunca surjan desacuerdos significativos en relación con nuestro Acuerdo, estas Condiciones y el Acuerdo de privacidad de datos, y Dandy prefiere resolver cualquier desacuerdo de la forma más amistosa posible. El objetivo de Dandy es colaborar estrechamente con usted y su misión es apoyar su práctica profesional. Si surgiera alguna cuestión que no pudiéramos resolver mediante una solución amistosa, ambas partes nos comprometemos a resolverla mediante arbitraje ante la Asociación Canadiense de Arbitraje en la ciudad de Toronto, con arreglo a la legislación de Ontario. El idioma del arbitraje será el inglés.
7. Impuesto sobre las ventas. Dandy aplicará el impuesto sobre las ventas, según corresponda, a nuestros productos, equipos y servicios en función de su ubicación geográfica. El importe del impuesto sobre las ventas aparecerá en su factura mensual, y el pago se cobrará tal y como se describe en el presente documento, así como en su Acuerdo de Práctica. Si está exento del pago del impuesto sobre las ventas, se compromete a proporcionar a Dandy un certificado de exención válido y aceptable para cada jurisdicción fiscal en la que se reclame la condición de exento.
8. Las Partes reconocen y acuerdan que, dado que Dandy recibirá y tratará información sanitaria personal en nombre de la Contraparte, el Acuerdo de confidencialidad de datos (el «DPA») constituye una parte obligatoria e integrante del presente Acuerdo. El DPA, adjunto al presente como Anexo A, establece las obligaciones de las Partes en lo que respecta a la recogida, el uso, la divulgación y la protección de la información personal y la información sanitaria personal. La Contraparte reconoce y acepta que no facilitará ninguna Información Sanitaria Personal a Dandy a menos que y hasta que ambas Partes hayan firmado el DPA.

Anexo A – Acuerdo de confidencialidad de datos

El presente Acuerdo de Privacidad de Datos («DPA») se aplica al Acuerdo («Acuerdo») entre Dandy y usted y su consulta o centro dental («Contraparte») y se incorpora por referencia cuando la Legislación Aplicable (definida más adelante) regula el uso de los Servicios por parte de la Contraparte y el tratamiento de los Datos Personales. El presente DPA garantiza que el tratamiento de la Información Personal por parte de Dandy cumple con la Legislación Aplicable. 

Los términos en mayúsculas que no se definan en el presente documento tendrán el significado que se les atribuye en el Contrato.

1. Definiciones

Por«Legislación aplicable»se entiende todas las leyes, reglamentos y directrices normativas aplicables al tratamiento de datos personales en virtud del presente DPA, incluida la Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) y, en lo que respecta específicamente a los datos sanitarios personales, la Ley de Ontario sobre Datos Sanitarios Personales de 2004 (PHIPA) y cualquier otra ley provincial aplicable en materia de protección de datos.

Por «violación de datos»se entiende cualquier acceso, uso o divulgación no autorizados de información sanitaria personal que se encuentre bajo la custodia o el control de Dandy y que suponga un riesgo real de daño significativo para la persona, tal y como se define en la PHIPA. La pérdida, el robo, la indisponibilidad o el uso indebido de información personal, así como el acceso, uso, divulgación o tratamiento ilícitos o no autorizados de la misma, o cualquier incumplimiento real o presunto de los requisitos del presente Acuerdo o de la legislación aplicable.

Por«información personal»se entiende la información identificativa sobre una persona, ya sea de forma oral o grabada, tal y como se define en la PHIPA, que se recopila, utiliza o divulga en el marco de la prestación de asistencia sanitaria, incluyendo, entre otros, los números de tarjeta sanitaria, la información sobre tratamientos y los historiales dentales.

se refiere a cualquier información relativa a una persona física identificada o identificable, tal y como se define en la legislación aplicable en materia de protección de datos en Canadá, incluidas la PIPEDA y cualquier ley provincial aplicable en materia de privacidad.

2. Ámbito de aplicación y finalidad

Dandy se compromete a tratar los datos personales únicamente en nombre de la otra parte y siguiendo sus instrucciones documentadas, salvo que lo exijan las leyes aplicables.

Dandy no tratará los datos personales para ningún fin distinto al de prestar los servicios descritos en el contrato, salvo que la otra parte lo autorice expresamente.

3. Obligaciones de Dandy

Dandy cumplirá con toda la legislación aplicable en materia de tratamiento de datos personales. Dandy tratará los datos personales de forma confidencial y solo los revelará a aquellos de sus empleados o subcontratistas que estén sujetos a obligaciones de confidencialidad vinculantes en relación con dichos datos (y cuyo uso de los mismos esté relacionado con sus funciones laborales), y se asegurará de que dichas personas solo traten los datos personales siguiendo las instrucciones de la Parte Contratante y de conformidad con el Contrato (incluido el presente DPA).  Dandy se asegurará de que todo el personal autorizado para tratar datos personales esté sujeto a obligaciones de confidencialidad y haya recibido la formación adecuada en materia de protección de datos.

En caso de que se contrate a subcontratistas, Dandy celebrará un contrato con dichos subcontratistas para garantizar que cumplan con el presente Acuerdo de Protección de Datos y con la legislación aplicable. Dandy responderá ante la Parte Contratante por cualquier incumplimiento del Acuerdo que sea causado por un acto, error u omisión del subcontratista, en la misma medida en que Dandy sería responsable de sus propios actos, errores u omisiones.

Dandy no transferirá datos personales fuera de Canadá y de los Estados Unidos sin el consentimiento previo por escrito de la otra parte.

Dandy prestará a la Contraparte la asistencia razonablemente necesaria para atender cualquier solicitud de una persona física destinada a acceder, corregir, modificar o suprimir su información personal. Dandy remitirá a la Contraparte cualquier solicitud de este tipo, en su calidad de custodio de la información sanitaria personal, o relacionada con el tratamiento de la información personal del interesado de cualquier forma, y Dandy no tomará medidas con respecto a dicha solicitud sin instrucciones de la Contraparte, salvo en la medida en que lo exija la ley; 

Dandy notificará a la otra parte, con una antelación razonable, cualquier divulgación prevista de los datos personales que sea exigida por la ley, salvo que dicha notificación suponga una infracción de la legislación aplicable. En caso de que un organismo encargado de hacer cumplir la ley envíe una solicitud a Dandy o a sus subcontratistas en relación con los datos personales, Dandy intentará remitir dicha solicitud al otro parte.  

Dandy notificará a la Parte Contratante cualquier notificación, consulta, investigación o recepción de una reclamación por parte de cualquier persona física o autoridad reguladora que guarde relación directa o indirecta con el tratamiento de datos personales, y cooperará de forma razonable con la Parte Contratante cuando esta lo solicite para que pueda cumplir con sus obligaciones en virtud de la legislación aplicable.

4. Seguridad

Dandy ha implementado y mantendrá medidas técnicas y organizativas comercialmente razonables y adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida, la destrucción o la alteración, teniendo en cuenta la sensibilidad de dichos datos. Esto incluye medidas relacionadas con la seguridad física de las instalaciones utilizadas para prestar los servicios, medidas para controlar los derechos de acceso a los activos y a las redes pertinentes, y procesos para comprobar el funcionamiento de dichas medidas.

5. Fuga de datos

Si Dandy tiene conocimiento de que se ha producido una violación de datos, deberá: (i) adoptar todas las medidas razonables necesarias para investigar, contener y mitigar dicha violación; y (ii) notificar a la Contraparte sin demora injustificada tras tener conocimiento de la violación. Dandy facilitará sin demora a la Contraparte toda la información pertinente recopilada por Dandy en relación con la misma, a fin de que la Contraparte pueda cumplir con sus propias obligaciones legales de notificación en virtud de la PHIPA, y facilitará sin demora a la Contraparte toda la información pertinente recopilada por Dandy en relación con la misma.

5. Cumplimiento normativo

A petición de la Parte Contratante, Dandy pondrá a disposición de esta información que demuestre y verifique que Dandy utiliza los datos personales de conformidad con las obligaciones que le incumben en virtud del presente Acuerdo de Tratamiento de Datos y de la legislación aplicable.

6. General

El presente Acuerdo de Protección de Datos permanecerá en vigor hasta que se produzca lo primero de lo siguiente: (i) la rescisión o el vencimiento del Contrato, o (ii) el cese por parte de Dandy del tratamiento de los datos personales. En caso de rescisión, a petición de la Parte Contratante, Dandy devolverá los datos personales a la Parte Contratante o los eliminará. 

Si algún tribunal u órgano administrativo con competencia jurisdiccional declarara que alguna parte del presente Acuerdo de Protección de Datos es inválida, inaplicable o ilegal, las demás disposiciones seguirán en vigor. Cualquier disposición inválida, inaplicable o ilegal se interpretará de manera que se respete la intención comercial de las Partes. Si ello no fuera posible, dicha disposición se separará del resto, pero el resto del acuerdo seguirá en pleno vigor.

Salvo en los casos en que el presente DPA entre en conflicto con el Acuerdo, el resto de disposiciones del Acuerdo permanecerán inalteradas. En caso de conflicto entre el presente DPA y los términos del Acuerdo, prevalecerá el presente DPA en la medida en que el objeto del mismo se refiera al tratamiento de los Datos Personales de la Contraparte. El presente DPA, junto con el Acuerdo, constituye el acuerdo definitivo, completo y exclusivo de las Partes con respecto a su objeto y sustituye y fusiona todas las conversaciones y acuerdos anteriores entre las Partes con respecto a dicho objeto. Ninguna otra declaración o condición será aplicable ni formará parte del presente DPA. 

La responsabilidad total de Dandy por cualquier reclamación que surja en virtud del presente Acuerdo de Protección de Datos o en relación con él está sujeta y limitada por las cláusulas de limitación de responsabilidad contenidas en el Acuerdo.

El presente Acuerdo de Tratamiento de Datos y el Contrato se interpretarán de la forma más amplia que sea necesaria para aplicar y cumplir las disposiciones obligatorias de la legislación aplicable. Las Partes acuerdan que el presente Acuerdo de Tratamiento de Datos se interpretará de manera que se respete su intención de cumplir con la legislación aplicable y, por lo tanto, cualquier ambigüedad se resolverá a favor de un significado que cumpla y sea coherente con la legislación aplicable.

El presente acuerdo de tratamiento de datos se regirá por la legislación aplicable de la provincia de Ontario.

Condiciones de servicio del Reino Unido, incluido el Acuerdo de privacidad de datos

Las presentes Condiciones Generales («Condiciones») del Contrato de Colaboración («Contrato») se celebran entre Zima Labs GB Ltd., que opera bajo el nombre comercial Dandy («Dandy»o«nosotros»), y usted y su consulta o centro dental («usted»), y entrarán en vigor en la fecha de celebración del Contrato de Colaboración («Fecha de entrada en vigor»). Si acepta estos Términos en nombre de una entidad, sociedad, corporación u organización, el término «usted» incluye a usted, a dicha entidad y a todos los usuarios de la misma, y por la presente declara que tiene la autoridad para vincular a todos dichos usuarios. Se hará referencia a Dandy y a usted como una «Parte» y, conjuntamente, como las «Partes». A cambio de una contraprestación válida y valiosa, tal y como se establece en el Acuerdo, las Partes acuerdan lo siguiente:

1. Modificaciones. Las presentes Condiciones y el Contrato no podrán modificarse salvo que ambas Partes lo acuerden por escrito. Dandy le notificará cualquier cambio sustancial. Los cambios entrarán en vigor treinta (30) días después de la notificación, salvo que usted rescinda el contrato por escrito. En tales casos, Dandy respetará las condiciones vigentes durante 60 días o hasta que se devuelva el hardware.

2. Acuerdo íntegro. El Acuerdo de práctica, las presentes Condiciones, el Acuerdo de privacidad de datos (Anexo A) y la Política de TI constituyen el acuerdo íntegro. El presente Acuerdo sustituye a todos los acuerdos anteriores que puedan entrar en conflicto con él.

3. Imposibilidad de cesión. No podrá transferir ni ceder el presente Acuerdo a un tercero sin el consentimiento previo por escrito de Dandy.

4. Cumplimiento normativo. Ambas partes se comprometen a cumplir todas las leyes aplicables en materia de salud y protección de datos del Reino Unido, incluido el RGPD del Reino Unido, la Ley de Protección de Datos de 2018, las normas reglamentarias pertinentes del NHS y del GDC, y las de la Comisión de Calidad Asistencial (CQC).

5. Indemnización. Usted indemnizará, defenderá y eximirá de responsabilidad a Dandy frente a cualquier reclamación o pérdida que se derive de: (a) el incumplimiento por su parte del presente Acuerdo o del DPA; (b) la negligencia o los actos dolosos en relación con la atención al paciente; (c) el suministro de datos clínicos incorrectos; y (d) las relaciones con los organismos reguladores del Reino Unido (por ejemplo, la CQC, el GDC o la ICO).

6. Legislación aplicable y resolución de controversias. El presente Acuerdo se rige por la legislación de Inglaterra y Gales. Cualquier controversia se resolverá mediante arbitraje con arreglo al Reglamento de la Corte de Arbitraje Internacional de Londres (LCIA). La sede del arbitraje será Londres.

7. IVA e impuestos. Dandy aplicará el Impuesto sobre el Valor Añadido (IVA) al tipo vigente, cuando proceda. Si está exento, deberá presentar un certificado de exención del IVA válido o pruebas que satisfagan a la HMRC.

8. Protección de datos. Dado que Dandy trata datos de categorías especiales (datos personales de carácter sanitario) en su nombre, el Acuerdo de Protección de Datos (DPA) que figura en el Anexo A constituye una parte obligatoria e integrante del presente Acuerdo.

Funciones en materia de protección de datos. Las Partes reconocen que:

• Dandy UK (Zima Labs GB Ltd.) actúa como responsable del tratamiento de los datos personales del personal de la consulta y de los contactos comerciales, tal y como se detalla en su Política de privacidad para el Reino Unido.
• La consulta actúa como responsable del tratamiento de todos los datos personales de los pacientes.
• Dandy actúa como encargado del tratamiento cuando presta sus servicios de plataforma y laboratorio digital a la consulta.

Contacto para la protección de datos. Cualquier notificación o solicitud relacionada con la privacidad en virtud del presente Acuerdo deberá dirigirse al responsable de protección de datos (DPO) de Dandy, Tony Riesen, a la dirección [email protected].

---

Anexo A: Acuerdo de confidencialidad de datos

El presente acuerdo de tratamiento de datos se incorpora al contrato en virtud del cual Dandy actúa como encargado del tratamiento en nombre de la consulta (responsable del tratamiento). La naturaleza, la finalidad y la duración del tratamiento se detallan en el anexo 1 (Detalles del tratamiento de datos).

1. Definiciones

• Por «legislación aplicable» se entiende el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
• El término «violación de datos personales» tiene el significado que se le atribuye en el RGPD del Reino Unido.
• Por «datos de categorías especiales» se entiende los datos personales que revelan información sobre la salud, datos biométricos o datos genéticos.
• Por «datos personales» se entiende los datos personales (tal y como se definen en el RGPD del Reino Unido) tratados por Dandy en nombre del responsable del tratamiento.
• El término «interesado» tiene el significado que se le atribuye en el RGPD del Reino Unido.

2. Tema e instrucciones

Dandy tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable del tratamiento (la consulta), incluso en lo que respecta a las transferencias de datos personales a un tercer país, salvo que la legislación del Reino Unido lo exija. Si Dandy considera que alguna instrucción infringe la legislación aplicable, informará de ello inmediatamente al responsable del tratamiento.

El responsable del tratamiento deberá asegurarse de que dispone de una base legal para todo intercambio de datos personales y de una base legal para el tratamiento de todos los datos de categorías especiales.

3. Obligaciones de Dandy (el encargado del tratamiento)

• Confidencialidad: Dandy garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad.
• Subencargados del tratamiento: Dandy sigue siendo plenamente responsable del cumplimiento de las obligaciones por parte de los subencargados del tratamiento. Se puede solicitar una lista de los subencargados del tratamiento autorizados por Dandy.
• Derechos de los interesados: Dandy prestará asistencia al responsable del tratamiento mediante las medidas técnicas y organizativas adecuadas para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados (por ejemplo, solicitudes de acceso de los interesados).
• Asistencia: Dandy prestará la asistencia razonable que sea necesaria para que el responsable del tratamiento cumpla con las obligaciones que le incumben en virtud de la legislación en materia de protección de datos, incluyendo, entre otros aspectos, la seguridad del tratamiento, la notificación de una violación de datos personales a la autoridad competente en materia de protección de datos o a los interesados, las evaluaciones de impacto relativas a la protección de datos y la consulta previa con la autoridad competente en materia de protección de datos.
• Seguridad: Dandy aplicará las medidas exigidas en virtud del artículo 32 del RGPD del Reino Unido, incluyendo el cifrado y la seudonimización cuando proceda.
• Auditorías e inspecciones: Dandy facilitará toda la información necesaria para demostrar el cumplimiento del artículo 28 del RGPD del Reino Unido y permitirá y colaborará en las auditorías, incluidas las inspecciones, llevadas a cabo por el responsable del tratamiento ( «auditoríasin situ»). Las auditorías in situ se realizarán previa notificación por escrito a Dandy con 60 días de antelación, y no más de una vez por año natural. Las partes harán todo lo posible por garantizar que las auditorías in situ no afecten de manera irrazonable a las operaciones de Dandy. El responsable del tratamiento correrá con los gastos de las auditorías in situ.

4. Transferencias internacionales

Dandy no transferirá datos personales fuera del Reino Unido o del EEE a menos que se asegure de que la transferencia esté sujeta a «garantías adecuadas» (como el Acuerdo de Transferencia Internacional de Datos del Reino Unido [IDTA] o una decisión de adecuación del Gobierno del Reino Unido).

5. Notificación de violaciones de seguridad

Dandy deberá notificar al responsable del tratamiento sin demora injustificada (y, en cualquier caso, en un plazo de 48 horas) tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a dichos datos, facilitando información suficiente para que el responsable del tratamiento pueda cumplir con sus obligaciones de notificación ante la autoridad de protección de datos competente.

6. Eliminación o devolución

A elección del responsable del tratamiento, Dandy deberá suprimir o devolver todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios, y suprimir las copias existentes, salvo que la legislación del Reino Unido exija su conservación.

---

ANEXO 1: DETALLES DEL TRATAMIENTO DE DATOS

• Objeto, naturaleza y finalidad: La prestación de los servicios que se le ofrecen en virtud del contrato de prestación de servicios.
• Duración: La vigencia del Acuerdo de prácticas más el plazo hasta que se eliminen todos los datos.
• Categorías de interesados: Pacientes y usuarios finales autorizados del cliente.
• Tipos de datos personales: nombres, direcciones de correo electrónico, direcciones profesionales, números de registro profesional y (en su caso) historiales clínicos o imágenes médicas de los pacientes.

---