Data Processing Addendum (DPA)

Este Data Processing Addendum (“DPA”) forma parte de los Términos y Condiciones de Nexmed y complementa la Política de Privacidad. En caso de conflicto, este DPA prevalece respecto del tratamiento de datos personales.

Nota: Este documento está diseñado para un entorno B2B (médicos independientes, centros médicos y clínicas) con operaciones principales en Perú.

1. Definiciones

Para fines de este DPA, los términos “Controller/Responsable” y “Processor/Encargado” se interpretan conforme a la normativa aplicable. Adicionalmente:

• “Datos Personales” incluye cualquier información que identifique o haga identificable a una persona.
• “Datos Sensibles” incluye, entre otros, información de salud y datos clínicos.
• “Datos del Cliente” significa datos ingresados o generados por el Cliente y sus Usuarios mediante el Servicio, incluyendo Datos de Pacientes.
• “Incidente de Seguridad” significa un evento confirmado que compromete la confidencialidad, integridad o disponibilidad de Datos Personales procesados por Nexmed en el marco del Servicio.

2. Roles y Alcance

En el uso típico del Servicio, el Cliente actúa como Controller/Responsable respecto de los Datos de Pacientes y Nexmed actúa como Processor/Encargado al procesar dichos datos por cuenta del Cliente para prestar el Servicio.

Este DPA aplica al tratamiento de Datos Personales realizado por Nexmed en el contexto del Servicio. El Cliente es responsable de determinar la base legal, obtener consentimientos y cumplir sus obligaciones regulatorias aplicables.

3. Detalles del Tratamiento (Anexo A)

El tratamiento incluye operaciones de recolección, almacenamiento, consulta, uso, transmisión y eliminación, según corresponda.

• Finalidades: prestar módulos de historia clínica, agenda, notas, recetas, órdenes, gestión de usuarios/roles, soporte y seguridad; IA para transcripción y sugerencias.
• Categorías de titulares: pacientes del Cliente, profesionales de salud, staff administrativo y Usuarios autorizados.
• Categorías de datos: identificación y contacto, datos clínicos, diagnósticos, prescripciones, órdenes, adjuntos, audio y transcripciones, logs de auditoría, dirección IP y metadatos técnicos.
• Duración: durante la vigencia de la suscripción y, tras terminación, conforme a la política de gracia/retención establecida en los Términos.

4. Instrucciones del Cliente

Nexmed procesará Datos Personales únicamente conforme a instrucciones documentadas del Cliente, que incluyen el uso del Servicio según su configuración y las acciones realizadas por Usuarios autorizados. Si Nexmed considera que una instrucción infringe la normativa aplicable, lo comunicará al Cliente cuando sea razonablemente posible.

5. Confidencialidad

Nexmed asegura que las personas autorizadas a procesar Datos Personales estén sujetas a obligaciones de confidencialidad apropiadas.

6. Medidas Técnicas y Organizativas (Anexo B)

Nexmed implementa medidas razonables de seguridad orientadas a proteger Datos Personales. El Cliente reconoce que ninguna medida elimina totalmente el riesgo. El Anexo B describe medidas de alto nivel sin revelar información sensible de seguridad.

• Controles de acceso: autenticación, autorización por rol y segregación multi-tenant.
• Cifrado: cifrado en tránsito y protecciones provistas por la infraestructura subyacente.
• Auditoría: registro de eventos relevantes y trazabilidad de acciones.
• Minimización: limitación de acceso y procesamiento al propósito del Servicio.
• Seguridad operativa: monitoreo, manejo de incidentes y controles de disponibilidad razonables.

7. Subprocesadores (Anexo C)

Nexmed puede contratar subprocesadores para prestar el Servicio (p. ej. infraestructura, almacenamiento, correo, IA). Nexmed seguirá siendo responsable por el cumplimiento de este DPA por parte de sus subprocesadores dentro del alcance aplicable.

• IA: OpenAI (transcripción y sugerencias).
• Infraestructura/almacenamiento: proveedores cloud y almacenamiento asociados al despliegue del Servicio.
• Correo: servicios de envío de correo utilizados para autenticación, invitaciones o notificaciones.

Nexmed podrá actualizar subprocesadores conforme evolucione el Servicio. En versiones futuras, este anexo puede incluir un listado más detallado o un enlace a una lista actualizada.

8. Transferencias Internacionales

El Cliente reconoce que el Servicio puede implicar tratamiento de datos fuera del Perú debido al uso de infraestructura y subprocesadores. Nexmed implementará salvaguardas contractuales y organizativas razonables con sus proveedores, conforme sea aplicable.

9. Incidentes de Seguridad y Notificación

Ante un Incidente de Seguridad, Nexmed notificará al Cliente sin demora indebida y, cuando sea razonablemente posible, proporcionará información disponible sobre la naturaleza del incidente, medidas mitigantes y próximos pasos.

El Cliente es responsable de cumplir con obligaciones de notificación a autoridades o titulares, cuando corresponda.

10. Asistencia al Cliente

Nexmed brindará asistencia razonable para que el Cliente pueda atender solicitudes de derechos de titulares y requerimientos relacionados al tratamiento de datos, en la medida compatible con el Servicio y sujeto a limitaciones operativas.

11. Retención, Devolución y Eliminación

Al término del Servicio, Nexmed conservará y eliminará datos conforme a la política de gracia/retención establecida en los Términos. El Cliente puede solicitar exportación dentro del periodo de retención. Tras dicho periodo, Nexmed podrá eliminar o anonimizar datos asociados al Cliente.

12. Auditoría y Evidencias

A solicitud razonable del Cliente, Nexmed podrá proporcionar información general sobre sus medidas de seguridad y prácticas de privacidad. Cualquier auditoría deberá acordarse por escrito para proteger la seguridad, confidencialidad y continuidad del Servicio.

13. Precedencia y Responsabilidad

Este DPA complementa el contrato principal (Términos/Orden de Servicio). Los límites de responsabilidad aplicables serán los establecidos en los Términos, salvo obligación legal distinta.

14. Contacto

Consultas relacionadas a este DPA: dev.nexmed@gmail.com