Acuerdo de Tratamiento de Datos (DPA)

Este Acuerdo de Tratamiento de Datos ("DPA") explica, en lenguaje claro, cómo CLARUS® ("كلاروس") trata los datos personales por cuenta de su laboratorio cuando usted utiliza nuestro Sistema de Información de Laboratorio. Está redactado para darle confianza: usted conserva el control de sus datos, nosotros actuamos únicamente conforme a sus instrucciones documentadas y nos exigimos el cumplimiento de estándares de seguridad internacionales y sanitarios reconocidos.

Este DPA forma parte de, y se incorpora por referencia a, las Condiciones del Servicio de CLARUS® ("Condiciones"). Entra en vigor el 2026-06-26 y se aplica durante todo el tiempo en que CLARUS® trate datos personales para su laboratorio. Los términos en mayúscula utilizados pero no definidos aquí tienen el significado que se les atribuye en las Condiciones.

Dado que los laboratorios manejan información sensible de pacientes, hemos hecho que este acuerdo sea específico y sustantivo en lugar de genérico. Cuando un concepto se resume en el cuerpo, el detalle técnico y organizativo vinculante se establece en el Anexo al final.

1.Ámbito de aplicación y relación con las Condiciones

Este DPA rige todo el tratamiento de datos personales que CLARUS® lleva a cabo por y por cuenta de su laboratorio ("usted", "el Cliente") en el marco de la prestación del Sistema de Información de Laboratorio de CLARUS® y los servicios relacionados (los "Servicios"). Se aplica a los datos personales introducidos en, generados por o transmitidos a través de los Servicios —incluidos los datos de pacientes y de salud— con independencia del modelo de despliegue (en la nube, híbrido o sin conexión).

Este DPA forma parte integrante de las Condiciones. Al aceptar las Condiciones, o al utilizar los Servicios, usted y CLARUS® acuerdan quedar vinculados por este DPA. Cuando exista un conflicto directo entre este DPA y el cuerpo general de las Condiciones en materia de tratamiento de datos personales, prevalecerá este DPA en la medida de dicho conflicto; en todos los demás aspectos, las Condiciones continúan aplicándose en su totalidad.

Este DPA refleja las mejores prácticas internacionales en los acuerdos de tratamiento de datos, adaptadas a un público regional (MENA y África) y sanitario. Está diseñado para operar junto a, y no para mermar, cualesquiera derechos imperativos de protección de datos o de protección del consumidor que usted o los interesados pertinentes ostenten en virtud de la legislación aplicable.

2.Funciones de las partes — Responsable y Encargado

Respecto de los datos de pacientes y de salud tratados a través de los Servicios, su laboratorio es el RESPONSABLE del tratamiento y CLARUS® es el ENCARGADO del tratamiento. Como Responsable, usted determina los fines y los medios del tratamiento de los datos de pacientes, es responsable de la licitud de dicho tratamiento y es responsable de establecer una base jurídica válida (incluido, cuando sea necesario, el consentimiento del paciente) y de facilitar cualquier información a los interesados.

Como Encargado, CLARUS® trata los datos de pacientes únicamente conforme a sus instrucciones documentadas y nunca para sus propios fines. CLARUS® no vende datos de pacientes, no los utiliza para entrenar modelos con fines no relacionados y no los combina con datos de otras fuentes salvo en la medida estrictamente necesaria para prestar los Servicios que usted ha configurado.

Para una categoría limitada de datos —en concreto, la información de cuenta, facturación y administración del laboratorio y de sus usuarios autorizados— CLARUS® actúa como Responsable independiente (por ejemplo, para gestionar su suscripción, proteger la plataforma, cumplir sus propias obligaciones legales y prevenir el fraude). Ese tratamiento limitado se rige por la Política de Privacidad de CLARUS®. Las obligaciones de Encargado de este DPA se aplican a los datos de pacientes y de salud descritos en las Secciones 3 y 4.

• Cliente (el laboratorio) = Responsable de los datos de pacientes y de salud.
• CLARUS® = Encargado de los datos de pacientes y de salud, que actúa conforme a instrucciones documentadas.
• CLARUS® = Responsable independiente únicamente respecto de sus propios datos de cuenta, facturación, seguridad y cumplimiento.

3.Objeto, duración, naturaleza y finalidad del tratamiento

Objeto. El objeto del tratamiento son los datos personales facilitados a o generados dentro de los Servicios en relación con el funcionamiento de un laboratorio médico —incluidos el registro de pacientes, la solicitud de pruebas, el seguimiento de muestras, los resultados, la elaboración de informes y los flujos de trabajo clínicos y operativos relacionados.

Duración. El tratamiento continúa durante la vigencia de su suscripción y cualquier ventana de exportación o cierre ordenado acordada con posterioridad, tras la cual los datos se eliminan o se devuelven de conformidad con la Sección 11. CLARUS® no conservará los datos de pacientes más allá de lo necesario para prestar los Servicios o para cumplir una obligación legal.

Naturaleza y finalidad. La naturaleza del tratamiento incluye la recogida, el registro, la estructuración, el almacenamiento, la recuperación, la transmisión (incluso a través de interfaces HL7, ASTM y FHIR), la visualización y —en caso de terminación— la eliminación o devolución. La finalidad es únicamente prestar, proteger, mantener y dar soporte a los Servicios y permitir que su laboratorio preste servicios diagnósticos a sus pacientes. CLARUS® trata los datos solo en la medida necesaria para estos fines y según las instrucciones que usted le dé.

4.Categorías de interesados y de datos personales

El tratamiento previsto en este DPA afecta a las siguientes categorías de interesados: pacientes del laboratorio; personal del laboratorio y usuarios autorizados de los Servicios; y médicos remitentes o tratantes y otros profesionales sanitarios cuyos datos se registran en relación con las solicitudes y los resultados.

Las categorías de datos personales incluyen datos de identificación y de contacto (por ejemplo, nombre, identificadores, fecha de nacimiento, sexo, dirección, teléfono, correo electrónico), datos de solicitudes y visitas, datos de muestras y de número de acceso (accession) y —lo más significativo— datos de SALUD de categoría especial, como solicitudes de pruebas, resultados diagnósticos, observaciones clínicas e información médica relacionada. Los datos también pueden incluir información de la función y el acceso del personal, así como datos de contacto y de remisión de los médicos.

Dado que los Servicios tratan de forma habitual datos de salud de categoría especial, CLARUS® aplica salvaguardias reforzadas a dichos datos, incluidas las medidas técnicas y organizativas establecidas en la Sección 6 y en el Anexo. Usted, como Responsable, es responsable de asegurar que dispone de una base jurídica adecuada para el tratamiento de tales datos de salud.

• Pacientes — identificadores, datos demográficos y datos de salud de categoría especial (solicitudes, resultados, observaciones clínicas).
• Personal / usuarios del laboratorio — identidad, metadatos de credenciales, función e información de acceso/auditoría.
• Médicos remitentes — nombre, datos de contacto y vinculación de remisión/solicitud.

5.Obligaciones de CLARUS® como Encargado

CLARUS® tratará los datos de pacientes únicamente conforme a sus instrucciones documentadas, incluso en lo que respecta a las transferencias internacionales, salvo que esté obligado a actuar por una ley a la que CLARUS® esté sujeto; en tal caso, CLARUS® le informará, cuando esté legalmente permitido, de dicho requisito legal antes del tratamiento. Sus instrucciones se dan a través de las Condiciones, este DPA, la configuración dentro del producto que usted elija y cualesquiera otras instrucciones escritas que usted facilite. Si CLARUS® considera que una instrucción infringe la legislación aplicable en materia de protección de datos, se lo comunicará sin demora indebida.

CLARUS® garantiza que el personal autorizado para tratar datos de pacientes está sujeto a obligaciones de confidencialidad adecuadas (de carácter contractual o legal) que perduran tras la finalización de su relación, y que el acceso se limita a quienes lo necesitan para prestar o dar soporte a los Servicios. El personal recibe formación adecuada a su función sobre protección de datos, seguridad y la especial sensibilidad de los datos de salud.

CLARUS® implementará y mantendrá las medidas técnicas y organizativas descritas en la Sección 6 y en el Anexo, le prestará asistencia según lo establecido en las Secciones 8 y 9, y pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de este DPA según se describe en la Sección 12.

• Tratar únicamente conforme a instrucciones documentadas; señalar las instrucciones que se consideren ilícitas.
• Vincular a todo el personal con acceso a deberes de confidencialidad y acceso de mínimo privilegio.
• Proporcionar formación en protección de datos y seguridad basada en funciones, con énfasis en los datos de salud.
• Mantener las medidas de seguridad, la respuesta ante brechas y las obligaciones de asistencia de este DPA.

6.Medidas de seguridad — Resumen

CLARUS® implementa y mantiene medidas técnicas y organizativas adecuadas para proteger los datos personales frente a la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación o el acceso no autorizados —teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo elevado asociado a los datos de salud de categoría especial.

Un resumen de estas medidas incluye el cifrado en tránsito y en reposo, un estricto aislamiento por inquilino (tenant), control de acceso basado en funciones con mínimo privilegio, registro de auditoría exhaustivo, autenticación de doble factor, copias de seguridad cifradas con capacidad de recuperación ante desastres y un programa estructurado de gestión de vulnerabilidades. La descripción completa y vinculante se establece en el Anexo (Medidas Técnicas y Organizativas).

CLARUS® revisa y, cuando procede, actualiza estas medidas a lo largo del tiempo para mantener un nivel de seguridad adecuado a los riesgos cambiantes. Cualquier actualización mantendrá o mejorará el nivel global de protección y no reducirá materialmente la seguridad de los Servicios durante su suscripción.

7.Subencargados

Usted otorga una autorización general para que CLARUS® recurra a subencargados para apoyar la prestación de los Servicios. CLARUS® contrata a cada subencargado mediante un contrato escrito que impone obligaciones de protección de datos no menos protectoras que las de este DPA, y CLARUS® sigue siendo plenamente responsable ante usted del cumplimiento de las obligaciones de sus subencargados.

Las categorías de subencargados actualmente contratados incluyen proveedores de alojamiento e infraestructura en la nube, proveedores de pagos y facturación y proveedores de comunicaciones (por ejemplo, correo electrónico, SMS o mensajería utilizados para notificaciones). CLARUS® limita los datos compartidos con cada subencargado a lo necesario para la función correspondiente.

CLARUS® le dará aviso previo de cualquier incorporación o sustitución prevista de un subencargado que trate datos de pacientes, a través de los métodos descritos en las Condiciones o un canal de notificación designado. Usted podrá oponerse a un nuevo subencargado por motivos razonables de protección de datos dentro del plazo de aviso; las partes trabajarán de buena fe para resolver la objeción y, si no puede resolverse, usted podrá, como remedio, resolver los Servicios afectados de conformidad con las Condiciones.

• Alojamiento e infraestructura en la nube (entornos aislados por inquilino).
• Procesamiento de pagos y facturación.
• Comunicaciones (notificaciones por correo electrónico / SMS / mensajería).
• Aviso previo de cambios que afecten a los datos de pacientes, con un derecho documentado de oposición.

8.Asistencia con las solicitudes de los interesados

Los interesados (por ejemplo, pacientes, personal o médicos) pueden tener derechos en virtud de la legislación aplicable a acceder, rectificar, suprimir, limitar, portar u oponerse al tratamiento de sus datos personales. Como Responsable, usted es responsable de responder a dichas solicitudes.

Teniendo en cuenta la naturaleza del tratamiento, CLARUS® le asistirá con medidas técnicas y organizativas adecuadas —y a través de las herramientas de autoservicio disponibles en los Servicios— para permitirle cumplir su obligación de responder a tales solicitudes. Cuando usted no pueda atender una solicitud mediante las herramientas dentro del producto, CLARUS® prestará una asistencia adicional razonable.

Si CLARUS® recibe una solicitud directamente de un interesado en relación con datos que trata por cuenta de usted, CLARUS® no responderá directamente a la misma (salvo para acusar recibo cuando proceda), sino que, sin demora indebida, le remitirá la solicitud para que usted pueda responder como Responsable.

9.Notificación de violaciones de datos personales

CLARUS® mantiene procedimientos de supervisión, detección y respuesta ante incidentes diseñados para identificar y contener las violaciones de datos personales. Si CLARUS® tiene conocimiento de una violación de datos personales que afecte a los datos de pacientes que trata por cuenta de usted, se lo notificará sin demora indebida, con el objetivo de notificárselo en un plazo de 72 horas desde que tenga conocimiento de la violación.

La notificación describirá, en la medida en que se conozca y a medida que se disponga de la información, la naturaleza de la violación, las categorías y el número aproximado de interesados y de registros afectados, las consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus efectos. CLARUS® facilitará más información por fases cuando no pueda proporcionarse toda de una vez.

CLARUS® cooperará con usted y tomará medidas razonables para asistir en su investigación, mitigación y subsanación de la violación, así como para apoyar cualesquiera notificaciones que usted deba realizar a una autoridad de control o a los interesados afectados. La notificación de una violación no constituye un reconocimiento de culpa ni de responsabilidad.

10.Transferencias internacionales y salvaguardias

Los Servicios liquidan la facturación en libras egipcias (EGP) y se operan principalmente para laboratorios de MENA (con Egipto como mercado principal), el Golfo, el Magreb y África. En función del modelo de despliegue que usted elija y de la ubicación de la infraestructura contratada, los datos personales pueden tratarse en, o transferirse a, jurisdicciones distintas de aquella en la que se encuentra su laboratorio.

Cuando CLARUS® transfiera datos personales a través de fronteras, garantizará que exista un mecanismo o salvaguardia de transferencia adecuado reconocido por la legislación aplicable —como el reconocimiento de adecuación, cláusulas contractuales tipo o protecciones contractuales equivalentes, y medidas técnicas suplementarias (incluido el cifrado en tránsito y en reposo y el aislamiento por inquilino)— de modo que la protección otorgada a los datos viaje con ellos.

Cuando su despliegue requiera la residencia de datos dentro de un país o región específicos, CLARUS® alojará y tratará los datos de pacientes en consecuencia, siempre que su plan y configuración lo admitan. Las transferencias a subencargados están sujetas a las salvaguardias descritas en la Sección 7.

11.Supresión o devolución de los datos al terminar

Usted es propietario de sus datos, y CLARUS® se compromete a la ausencia de dependencia tecnológica. Durante toda su suscripción y durante la ventana de exportación descrita a continuación, usted puede exportar sus datos en formatos abiertos e interoperables —incluidos HL7 y FHIR— de modo que nunca quede atrapado en la plataforma.

A la expiración o terminación de los Servicios, CLARUS®, a su elección, le devolverá los datos personales y/o los eliminará. CLARUS® ofrece una ventana de exportación definida tras la terminación (según se establece en las Condiciones o en su pedido) durante la cual usted podrá recuperar sus datos antes de la supresión. Una vez cerrada la ventana de exportación, CLARUS® eliminará los datos personales de los sistemas activos y, a su debido tiempo, de las copias de seguridad de conformidad con su ciclo de rotación de copias, salvo cuando la conservación sea exigida por ley.

A petición, CLARUS® confirmará por escrito que la supresión se ha completado de conformidad con esta Sección. Los datos conservados únicamente para cumplir una obligación legal seguirán protegidos por las medidas de este DPA mientras se conserven, y se tratarán únicamente con esa finalidad.

12.Auditorías y demostración del cumplimiento

CLARUS® pondrá a su disposición la información razonablemente necesaria para demostrar el cumplimiento de este DPA, incluidos, cuando estén disponibles, resúmenes de evaluaciones independientes, certificaciones, resultados de pruebas de penetración y descripciones de sus controles de seguridad y de las medidas del Anexo.

Cuando esa información no sea suficiente para sus necesidades razonables de cumplimiento, CLARUS® permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por usted o por un auditor independiente designado por usted. Las auditorías se realizarán con un aviso previo razonable por escrito, no más de una vez al año salvo cuando lo exija una autoridad de control o tras una violación de datos personales, durante el horario laboral y de una manera que no comprometa la seguridad, la confidencialidad o la disponibilidad de los datos de otros clientes.

Cada una de las partes asumirá sus propios costes de una auditoría, acordará el alcance y el calendario de buena fe con antelación, y tratará todas las conclusiones de la auditoría como confidenciales. Cualquier auditor externo deberá estar sujeto a obligaciones de confidencialidad adecuadas y no podrá ser un competidor de CLARUS®.

13.Anexo — Medidas Técnicas y Organizativas

Este Anexo establece las medidas técnicas y organizativas que CLARUS® mantiene para proteger los datos personales, con salvaguardias reforzadas para los datos de salud de categoría especial. Estas medidas son vinculantes y se resumen en la Sección 6. CLARUS® podrá actualizar medidas concretas a lo largo del tiempo siempre que se mantenga o mejore el nivel global de protección.

Las medidas que se indican a continuación operan conjuntamente como una defensa por capas que abarca la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y servicios de tratamiento, así como la capacidad de restablecer el acceso a los datos de forma oportuna tras un incidente.

• Cifrado en tránsito — datos protegidos con un cifrado de transporte robusto y conforme a los estándares del sector entre los clientes, la plataforma y las integraciones (HL7 / ASTM / FHIR).
• Cifrado en reposo — datos de pacientes y de salud cifrados en los soportes de almacenamiento mediante algoritmos robustos y conformes a los estándares del sector y claves gestionadas.
• Aislamiento por inquilino — los datos de cada laboratorio están aislados lógicamente de modo que un inquilino no pueda acceder a los datos de otro.
• Control de acceso basado en funciones y mínimo privilegio — el acceso se concede por función según el principio de necesidad de conocer, se revisa periódicamente y se minimiza.
• Registro de auditoría — los eventos relevantes para la seguridad y el acceso a los datos de pacientes se registran para favorecer la trazabilidad, la supervisión y la investigación.
• Autenticación de doble factor (2FA) — admitida y configurable para reforzar la autenticación en el acceso privilegiado y de usuario.
• Copias de seguridad cifradas y recuperación ante desastres — las copias de seguridad están cifradas, se realizan y prueban periódicamente, con una capacidad documentada de recuperación ante desastres para restablecer el servicio y los datos.
• Gestión de vulnerabilidades — aplicación continua de parches, pruebas de seguridad (incluidas evaluaciones periódicas) y un proceso estructurado para clasificar y subsanar vulnerabilidades.
• Controles de personal y organizativos — obligaciones de confidencialidad, aprovisionamiento/desaprovisionamiento de mínimo privilegio y formación en seguridad y protección de datos adecuada a la función.

14.Evaluaciones de impacto relativas a la protección de datos y consulta previa

Dado que los Servicios implican habitualmente el tratamiento de datos de salud de categoría especial, su tratamiento puede requerir una Evaluación de Impacto relativa a la Protección de Datos (DPIA). Teniendo en cuenta la naturaleza del tratamiento y la información de la que disponemos, CLARUS® le prestará una asistencia razonable para respaldar cualquier DPIA que usted realice, así como cualquier consulta previa que deba llevar a cabo ante una autoridad de control.

Dicha asistencia comprende las descripciones de las operaciones de tratamiento pertinentes, las medidas técnicas y organizativas recogidas en la sección de seguridad y en el Anexo, y las categorías de subencargados y los flujos de datos implicados, de modo que usted, en su condición de Responsable del tratamiento, pueda evaluar y documentar los riesgos del tratamiento.