Acuerdo de Tratamiento de Datos

1. Partes y función

Este Acuerdo de Tratamiento de Datos forma parte de los Términos aceptados por cada clínica.

La clínica es responsable de los datos personales que introduce o suministra al EHR. Jaime Tecnologías S.A.S. de C.V., operador de Bourgelat, actúa como encargado y trata esos datos siguiendo instrucciones documentadas.

Este acuerdo no cubre datos de sitio, cuenta, facturación, soporte o seguridad cuyo propósito determina Jaime Tecnologías como responsable directo; esos tratamientos se describen en la Política de Privacidad.

El DPA funciona como base global. Una protección local obligatoria más fuerte prevalece cuando resulte aplicable.

2. Objeto e instrucciones

Bourgelat puede tratar datos de la clínica únicamente para:

• Alojar, estructurar, organizar, consultar y mostrar registros.
• Ejecutar flujos, recordatorios y comunicaciones configurados por la clínica.
• Proteger, monitorear, mantener, respaldar, restaurar y mejorar la fiabilidad.
• Prestar soporte, implementación, migración, exportación, corrección y eliminación.
• Cumplir leyes y órdenes vinculantes.
• Seguir otras instrucciones documentadas compatibles con el acuerdo.

Las instrucciones incluyen uso de la aplicación, configuraciones, solicitudes de soporte, migración y exportación, pedido, Términos y este DPA.

Si creemos razonablemente que una instrucción infringe la ley, informaremos y podremos pausar solamente el tratamiento afectado mientras se resuelve, salvo prohibición o acción legal inmediata.

3. Personas y datos cubiertos

Pueden incluir:

• Propietarios de animales y sus contactos.
• Personal y perfiles veterinarios.
• Citas, comunicaciones, consentimientos y autorizaciones.
• Expedientes, notas y archivos vinculados a una persona.
• Datos importados o entregados durante soporte y migración.
• Identificadores técnicos y de seguridad vinculados a actividad de cuenta.

La clínica evitará identificaciones oficiales, datos médicos humanos, tarjetas de pago, datos de menores o información humana sensible no necesaria en texto libre.

4. Desidentificación

La clínica autoriza a Bourgelat a transformar datos en información genuinamente desidentificada o agregada para mejorar el producto, producir estadísticas y realizar investigación futura.

La información no debe permitir razonablemente identificar a una persona o clínica. No intentaremos reidentificarla. La seudonimización no basta: esos datos continúan protegidos.

Investigación o reutilización secundaria de información identificable o solamente seudonimizada exige un acuerdo, autoridad legal y gobernanza separados.

5. Confidencialidad y acceso

Limitamos acceso a personal y contratistas que lo necesitan para responsabilidades asignadas. Están sujetos a confidencialidad, formación y retiro o ajuste rápido de acceso cuando cambia su función.

Prohibimos consultar expedientes por curiosidad o sin propósito asignado.

6. Medidas de seguridad

Aplicamos medidas verificadas y proporcionales, incluyendo:

• Autenticación multifactor para accesos internos y privilegiados.
• Cifrado en tránsito y en reposo donde la infraestructura verificada lo soporte.
• Separación entre clínicas mediante controles de aplicación, autorización y base de datos probados.
• Desarrollo seguro, mantenimiento de dependencias y corrección de vulnerabilidades según riesgo.
• Secretos fuera del código fuente y acceso limitado.
• Registro de accesos privilegiados y acciones administrativas materiales donde sea técnicamente aplicable.
• Respaldos, restauración, continuidad y respuesta a incidentes.
• Revisión trimestral de accesos internos y privilegiados.
• Evaluación de proveedores según riesgo.

El Anexo de Medidas Técnicas y Organizativas identifica los controles de producción verificados. No presentamos controles aspiracionales como si ya estuvieran implementados.

7. Cuenta compartida

La clínica utiliza una cuenta autenticada compartida. Bourgelat registra el perfil veterinario seleccionado para una consulta, pero las credenciales compartidas no prueban criptográficamente qué persona natural realizó una acción.

La clínica protege credenciales, controla quién puede utilizarlas, cambia acceso cuando alguien deja de estar autorizado, mantiene dispositivos y redes razonablemente seguros y reporta compromisos sospechosos.

8. Subencargados

Podemos usar proveedores necesarios para operar, proteger, comunicar, monitorear, facturar y mantener el servicio.

Mantenemos un registro de subencargados con proveedor, propósito, región y categorías de datos. Damos 30 días de aviso antes de un cambio material cuando sea práctico.

La clínica puede objetar por razones documentadas de protección de datos. Primero buscaremos una alternativa razonable. Si no existe, puede terminar el servicio afectado, exportar y recibir el reembolso proporcional aplicable.

Una urgencia de seguridad, legal o continuidad puede exigir un cambio más rápido con explicación posterior. Exigimos obligaciones apropiadas y acceso mínimo necesario, y permanecemos responsables de administrar a nuestros subencargados.

9. Tratamiento internacional

La clínica autoriza tratamiento en países y regiones divulgados en el registro vigente. Identificamos regiones y salvaguardas aplicables.

Cuando se aplique el RGPD europeo o británico, utilizaremos decisión de adecuación, cláusulas aprobadas, adenda del Reino Unido u otro mecanismo legal disponible. No afirmamos que esos mecanismos gobiernen clientes a quienes no aplican.

Revisamos solicitudes gubernamentales, procuramos limitar las excesivas, revelamos lo mínimo legalmente necesario e informamos a la clínica salvo prohibición.

10. Incidentes de datos personales

Notificamos a la clínica afectada sin demora indebida y dentro de 24 horas después de confirmar razonablemente un incidente que involucre sus datos.

La notificación inicial puede ser incompleta y se actualizará por etapas. Incluirá, cuando se conozca, naturaleza, momento, datos y personas potencialmente afectadas, consecuencias, contención, remediación, acciones recomendadas, contacto y próxima actualización.

Preservamos evidencia apropiada y ayudamos a evaluar y realizar avisos obligatorios. La clínica conserva sus obligaciones como responsable. Bourgelat notifica directamente a una autoridad únicamente cuando la ley asigna ese deber a su función.

No contactamos propietarios ni publicamos por la clínica sin autorización, salvo exigencia legal. Notificar no constituye por sí solo admisión de culpa.

Si la clínica causó el incidente, prestaremos ayuda razonable. Trabajo extraordinario puede cobrarse después de acordarlo, salvo contribución de Bourgelat o prohibición legal.

11. Derechos de las personas

Proporcionamos herramientas y ayuda razonable para acceso, corrección, eliminación, oposición, exportación, limitación y otros derechos aplicables.

Si recibimos directamente una solicitud sobre datos controlados por una clínica, verificaremos lo necesario para remitirla de forma segura e informaremos a la clínica dentro de dos días hábiles.

No aceptamos ni rechazamos sustantivamente la solicitud salvo instrucción o exigencia legal. La asistencia estándar está incluida. Trabajo manual extraordinario puede acordarse y cobrarse razonablemente, salvo que Bourgelat causara la necesidad o la ley exija gratuidad.

12. Auditoría y evidencia

La clínica puede solicitar resumen de seguridad, registro de subencargados, políticas relevantes, cuestionario estándar e informes independientes disponibles.

Comenzamos con revisión documental. Se permite una auditoría ordinaria cada doce meses, además de las justificadas por incidente material, regulador o preocupación documentada creíble.

Auditorías técnicas requieren aviso, confidencialidad, alcance y horario acordados. No pueden exponer datos de otra clínica, secretos ajenos, código, detalles de explotación que aumenten riesgo ni datos de empleados más allá de lo legalmente necesario.

La clínica cubre costos ordinarios. Si se demuestra incumplimiento material de Bourgelat, pagaremos o acreditaremos costos razonables y proporcionales relacionados. Las facultades legales de reguladores no se limitan.

13. Terminación, exportación y eliminación

Este DPA comienza al aceptar los Términos y continúa mientras tratemos datos controlados por la clínica.

Al terminar, la clínica dispone de 90 días para exportación y recuperación. Después eliminamos datos de sistemas activos, salvo solicitud anterior o conservación legal obligatoria. Copias residuales de respaldo expiran dentro de los 35 días siguientes.

Confirmaremos la eliminación a solicitud razonable. Datos retenidos legalmente quedan aislados o restringidos y se utilizan solamente para ese fin.

La información genuinamente desidentificada no se elimina como expediente de clínica porque ya no identifica razonablemente a una persona o clínica.

14. Vigencia, prioridad y responsabilidad

La responsabilidad sigue los Términos, excepto obligaciones o remedios de datos que una ley no permita limitar. Si existe conflicto sobre datos controlados por la clínica, este DPA prevalece.

Cambios materiales reciben aviso razonable, salvo urgencia legal o de seguridad con explicación posterior.

Una fusión, adquisición, cesión o cambio de entidad exige que la sucesora acepte estas obligaciones y siga el proceso de aviso y transición aprobado.

La ley y controversias siguen los Términos sin limitar reguladores ni derechos no renunciables de personas.

15. Anexos

Forman parte del DPA:

• Objeto, finalidad, naturaleza y duración del tratamiento.
• Categorías de personas y datos.
• Medidas Técnicas y Organizativas verificadas.
• Subencargados, propósitos y regiones vigentes.
• Mecanismo de transferencia cuando resulte aplicable.
• Contacto de privacidad, instrucciones y detalles operativos de la clínica.

Contacto de privacidad: privacidad@bourge.lat

Contacto de seguridad: seguridad@bourge.lat