Acuerdo de Procesamiento de Datos (APD)

Este Acuerdo de Procesamiento de Datos (en adelante, el “DPA”) forma parte integrante de los Términos y Condiciones y de la Política de Privacidad del servicio Odontozen (el “Acuerdo”) y regula el tratamiento de Datos Personales realizado por ODONTOZEN S.A.S. (“Odontozen”) por cuenta del Cliente.

A efectos de este DPA:

  • el Cliente actúa como Responsable del Tratamiento; y
  • Odontozen actúa como Encargado del Tratamiento, respecto de los Datos Personales tratados en la plataforma en el marco de la prestación del servicio.

I. Encargo de tratamiento, finalidades y categorías de datos

1) Encargo

El Cliente encarga a Odontozen el tratamiento de los Datos Personales necesarios para prestar el servicio. Odontozen acepta el encargo y se obliga a tratar los Datos únicamente conforme a este DPA y a las instrucciones documentadas del Cliente.

2) Finalidades

Odontozen tratará los Datos exclusivamente para:

  1. Prestar, mantener y operar el servicio contratado (incluyendo hosting, almacenamiento, sincronizaciones, generación de documentos clínicos y funcionalidades del sistema).
  2. Soporte técnico, gestión de incidencias, continuidad del servicio y mejoras de seguridad.
  3. Cumplimiento de obligaciones legales aplicables a Odontozen como proveedor del servicio.

Odontozen no tratará los Datos para fines propios. En caso de que se utilicen métricas o analíticas del servicio, serán agregadas y, cuando corresponda, anonimizadas de forma que no permitan identificar a personas.

3) Operaciones de tratamiento

El tratamiento podrá incluir, entre otras, las operaciones de recolección, registro, almacenamiento, organización, estructuración, consulta, uso, transmisión, respaldo, recuperación, eliminación y cualquier otra operación necesaria para la prestación del servicio.

4) Categorías de datos

Las categorías de datos personales transferidos serán determinadas por el Cliente, pero pueden incluir:

  • Datos de usuarios de la clínica (dentistas, asistentes, administradores).
  • Datos de pacientes, incluyendo datos de salud/clínicos.
  • Información administrativa/financiera asociada al tratamiento (p. ej., presupuestos, pagos, facturas).
  • Metadatos técnicos (p. ej., dirección IP, logs, timestamps).

El Cliente declara y garantiza que cuenta con una base de licitud para el tratamiento y la incorporación de estos Datos al servicio.

5) Ubicación de infraestructura y territorio

Para fines de alojamiento y continuidad del servicio, los Datos pueden tratarse en las siguientes ubicaciones:

  • Servidor de aplicación y base de datos (MySQL): DigitalOcean, región NYC1 (Estados Unidos).
  • Archivos de pacientes (imágenes), documentos cargados y facturas/PDF generados: AWS, región sa-east-1 (São Paulo, Sudamérica).
  • Backups automáticos: AWS S3 bucket, región sa-east-1 (São Paulo, Sudamérica).

II. Obligaciones de Odontozen como Encargado

Sin perjuicio del cumplimiento de las obligaciones de este DPA, Odontozen:

  1. Instrucciones: Tratará los Datos Personales únicamente conforme a las instrucciones del Cliente y no para finalidades propias.
  2. Confidencialidad: Garantizará que las personas autorizadas a tratar los Datos se encuentren sujetas a obligaciones de confidencialidad.
  3. Seguridad: Implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (ver Anexo 1).
  4. Asistencia a derechos: Colaborará con el Cliente, en la medida aplicable, para atender solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad) relativas a los Datos.
  5. Evaluaciones/consultas: Apoyará razonablemente al Cliente en evaluaciones de impacto o consultas con la autoridad competente cuando correspondan, aportando información sobre el servicio.
  6. Autoridad: Si por obligación legal Odontozen debe compartir información con una autoridad judicial o administrativa, notificará oportunamente al Cliente, salvo que la ley lo prohíba.

III. Subencargados (Subprocesadores)

  1. El Cliente autoriza a Odontozen a recurrir a Subencargados para prestar el servicio (por ejemplo, proveedores de infraestructura cloud y almacenamiento), manteniendo Odontozen plena responsabilidad frente al Cliente.
  2. Odontozen asegurará mediante contrato que los Subencargados asumen obligaciones sustancialmente equivalentes a las de este DPA, especialmente en materia de seguridad y confidencialidad.
  3. A solicitud del Cliente, Odontozen pondrá a disposición una lista vigente de Subencargados y notificará cambios relevantes con antelación razonable para permitir objeciones justificadas.

IV. Transferencias internacionales de datos

El Cliente autoriza expresamente a Odontozen a realizar transferencias internacionales de Datos exclusivamente para las finalidades acordadas en este DPA y el Acuerdo, incluyendo:

  • tratamiento en Estados Unidos (DigitalOcean, NYC1) para hosting y base de datos;
  • tratamiento en Brasil (AWS sa-east-1) para almacenamiento de archivos y backups.

Odontozen aplicará medidas contractuales y organizativas razonables para asegurar un nivel adecuado de protección, incluyendo acuerdos con Subencargados y controles de seguridad coherentes con el riesgo.

V. Vulneraciones de seguridad (incidentes)

  1. En caso de un incidente que pueda implicar una vulneración de la seguridad de los Datos, Odontozen notificará al Cliente sin dilación indebida tras tener conocimiento.
  2. La notificación incluirá, en la medida disponible: naturaleza del incidente, fecha aproximada, categorías de datos potencialmente afectados, medidas adoptadas o propuestas, y un punto de contacto.
  3. Odontozen mantendrá un proceso documentado de gestión de incidentes que incluya, como mínimo, identificación, categorización, priorización, investigación, remediación, recuperación y cierre, y cooperará razonablemente con el Cliente.

VI. Retención, devolución y supresión

  1. Odontozen tratará los Datos durante la vigencia del Acuerdo.
  2. Al término del servicio, el Cliente podrá solicitar exportación de sus Datos y/o supresión. Odontozen eliminará o anonimizará los Datos en un plazo razonable, salvo retenciones exigidas por ley o por necesidades técnicas de seguridad operativa.
  3. Backups: se realizan diariamente y se conservan por 90 días. Los Datos contenidos en backups se eliminarán conforme a dicha política de retención, salvo obligación legal distinta.

VII. Prevalencia

El Acuerdo mantendrá plena vigencia y aplicación en todo aquello que no sea expresamente modificado por este DPA. En caso de discrepancia entre el Acuerdo y el DPA en materia de protección de datos, prevalecerá lo establecido en el DPA.

ANEXO 1 – Medidas técnicas y organizativas

Odontozen aplica medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

  1. Cifrado en tránsito: todas las conexiones a la plataforma utilizan HTTPS/TLS.
  2. Control de accesos: acceso basado en usuarios y roles/permisos definidos por la clínica; principio de mínimo privilegio.
  3. Copias de seguridad: backups diarios con retención de 90 días en AWS S3 (sa-east-1).
  4. Continuidad y disponibilidad: procedimientos de restauración y medidas operativas para mantener el servicio.
  5. Monitoreo y registros: logging técnico y monitoreo de infraestructura para detección de fallos y eventos de seguridad.
  6. Seguridad del proveedor cloud: controles de seguridad física y lógica proporcionados por DigitalOcean y AWS en sus centros de datos.
  7. Gestión de cambios y parches: aplicación de actualizaciones y prácticas de hardening en la infraestructura del servicio.

Nota: Este Anexo describe medidas a nivel general y puede actualizarse para reflejar mejoras de seguridad o cambios tecnológicos, manteniendo siempre un nivel de protección adecuado al riesgo.

¿Necesitas ayuda?