Términos y Condiciones de Uso — Manos Seguras 3.0
1. Identificación del Prestador del Servicio
HEALTH AND PREVENTIVE SYSTEMS, S.L. (en adelante, "Manos Seguras" o el "Prestador"), con NIF B72806151 y domicilio social en Calle Puentezuelas 31, B — 18002 Granada (España), pone a disposición de sus clientes la plataforma Manos Seguras 3.0 (en adelante, el "Servicio") accesible a través de https://manosseguras.com, conforme a los presentes Términos y Condiciones de Uso (en adelante, los "Términos").
Datos de contacto:
- Atención general: [email protected]
- Cuestiones legales y protección de datos: [email protected]
- Soporte técnico: [email protected]
2. Objeto, ámbito de aplicación y aceptación
2.1. Los presentes Términos regulan las condiciones contractuales entre el Prestador y la persona jurídica que se da de alta y utiliza la plataforma Manos Seguras 3.0 a través del sitio web del Prestador (en adelante, el "Cliente").
2.2. Modalidades de licencia. El Prestador ofrece cinco (5) modalidades de licencia, incluyendo una licencia gratuita, cuyas características funcionales, límites de uso y precios se publican y mantienen actualizados en la sección de precios del sitio web del Prestador.
2.3. Aplicación a la licencia gratuita. Los presentes Términos regulan íntegramente la relación contractual entre el Prestador y los Clientes que utilicen la licencia gratuita del Servicio.
2.4. Aplicación a las licencias de pago. Para las licencias de pago, los presentes Términos resultan aplicables con carácter supletorio y con las modificaciones, especificaciones, niveles de servicio, plazos, garantías y compromisos adicionales que se establezcan en el contrato comercial específico firmado entre las partes. En caso de contradicción entre estos Términos y dicho contrato comercial, prevalecerá el contrato comercial específico.
2.5. Descripción del Servicio. Manos Seguras 3.0 es una plataforma SaaS (Software as a Service) destinada al registro, análisis y reporte de observaciones anónimas de higiene de manos en entornos sanitarios, conforme a los protocolos de los "5 momentos de la higiene de manos" de la Organización Mundial de la Salud u otros que el Cliente determine.
2.6. Funcionalidades de inteligencia artificial. El Servicio incorpora determinadas funcionalidades basadas en inteligencia artificial cuyo uso por el Cliente queda sujeto a un contrato específico independiente. La activación o utilización de tales funcionalidades requerirá la aceptación previa de los términos correspondientes y, en su caso, su contratación específica. Los presentes Términos no regulan el uso por el Cliente de dichas funcionalidades de IA.
2.7. No es producto sanitario. El Servicio NO constituye un producto sanitario en el sentido del Reglamento (UE) 2017/745 sobre productos sanitarios (MDR), ni proporciona soporte para la toma de decisiones clínicas, diagnósticas o terapéuticas. Sus finalidades son la auditoría, formación, mejora de la calidad asistencial y prevención de infecciones asociadas a la asistencia sanitaria.
2.8. Aceptación. La aceptación de los presentes Términos se entenderá producida mediante:
(a) La marcación expresa de la casilla de aceptación durante el proceso de alta en la plataforma, tanto por el Coordinador (en nombre y representación del Cliente y a título individual como Usuario), como por cada Usuario Operador (a título individual), conforme a lo previsto en el apartado 4 bis.
(b) El uso continuado del Servicio una vez puesto a disposición.
(c) La firma del contrato comercial específico, en el caso de licencias de pago.
2.9. Destinatarios. El Servicio está dirigido a personas jurídicas del sector sanitario, en particular hospitales, centros sanitarios, fundaciones, mutuas y entidades gestoras de centros sanitarios, públicos o privados. El Servicio no está dirigido a consumidores finales en el sentido del Real Decreto Legislativo 1/2007 (LGDCU). El Cliente declara contratar el Servicio en el ejercicio de su actividad profesional.
3. Definiciones
A efectos de los presentes Términos, se entenderá por:
- "Cliente": la persona jurídica del sector sanitario que contrata o utiliza el Servicio.
- "Usuario": persona física autorizada por el Cliente para acceder y operar la plataforma. Comprende tanto al Coordinador como a los Usuarios Operadores.
- "Coordinador": Usuario que actúa en nombre y representación del Cliente, con poder bastante para vincularlo, y que es responsable del alta del centro en la plataforma, de la gestión administrativa de la Cuenta y del alta y baja de los Usuarios Operadores.
- "Usuario Operador": Usuario dado de alta por el Coordinador que opera la plataforma a título individual, sin actuar en representación del Cliente ni con capacidad para vincularlo.
- "Cuenta": espacio del Cliente en la plataforma, accesible mediante credenciales personales.
- "Observación": registro de cumplimiento o no cumplimiento de las prácticas de higiene de manos efectuado por un Usuario, sin identificación nominal del personal sanitario observado.
- "Datos del Cliente": información introducida o generada por el Cliente o sus Usuarios en la plataforma (Observaciones, configuraciones, informes, datos identificativos del centro).
- "Datos Personales": cualquier dato relativo a una persona física identificada o identificable conforme al art. 4.1 RGPD. En el contexto del Servicio, se refieren exclusivamente a los Usuarios.
- "RGPD": Reglamento (UE) 2016/679 General de Protección de Datos.
- "LOPDGDD": Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.
- "DPA" o "Encargo de Tratamiento": contrato que regula el tratamiento de Datos Personales por el Prestador como Encargado, incorporado como Anexo I.
- "Contrato comercial específico": documento contractual firmado entre las partes para regular las condiciones particulares de las licencias de pago.
4. Cuenta del Cliente y gestión de Usuarios
4.1. El Cliente designará a uno o varios administradores con capacidad para crear, modificar, suspender y eliminar Usuarios dentro de su Cuenta, así como para configurar los parámetros operativos del Servicio.
4.2. Responsabilidades del Cliente. El Cliente es el único responsable de:
(a) La veracidad, exactitud y actualización de los datos identificativos proporcionados al darse de alta y de los datos de los Usuarios que registre.
(b) La obtención del consentimiento previo, expreso e informado de los Usuarios cuyos Datos Personales (nombre y correo electrónico, principalmente corporativo) introduzca en la plataforma, o la concurrencia de otra base jurídica legítima del art. 6 RGPD que ampare dicho tratamiento.
(c) La información a sus Usuarios sobre la finalidad del tratamiento, la identidad del Responsable (el Cliente) y del Encargado (el Prestador), las categorías de datos tratados, las cesiones previstas y los derechos que les asisten, conforme a los arts. 13 y 14 RGPD.
(d) La adopción de medidas razonables para que sus Usuarios custodien sus credenciales de acceso, no las compartan y empleen contraseñas robustas.
(e) La revocación inmediata del acceso de Usuarios que cesen su relación profesional con el Cliente o cuyo acceso deba retirarse por cualquier motivo.
4.3. El Prestador no responde de los daños derivados del uso indebido de credenciales por personas no autorizadas cuando dicho uso indebido se deba a falta de diligencia del Cliente o de sus Usuarios.
4.4. Garantía del Cliente respecto a Usuarios. El Cliente garantiza al Prestador que cuenta con todas las autorizaciones, consentimientos y bases jurídicas necesarias para introducir los Datos Personales de sus Usuarios en la plataforma. El Cliente mantendrá indemne al Prestador frente a cualquier reclamación, sanción o daño derivado del incumplimiento de esta garantía, en los términos del apartado 17.
4 bis. Roles de Usuario y arquitectura de aceptación
4 bis.1. Tipología de Usuarios. Existen dos tipos de Usuarios en la plataforma:
(a) Coordinador. Usuario designado por el Cliente para actuar en su nombre y representación, con poder bastante a tales efectos. El Coordinador es responsable del alta del centro en la plataforma, de la configuración general de la Cuenta y del alta, modificación y baja de los Usuarios Operadores.
(b) Usuario Operador. Usuario dado de alta por el Coordinador para operar la plataforma a título individual, sin actuar en representación del Cliente ni con capacidad para vincularlo frente al Prestador.
4 bis.2. Garantía de representación del Coordinador. El Coordinador, mediante la aceptación de los presentes Términos, garantiza al Prestador que dispone del poder de representación necesario para vincular al Cliente y declara obrar de buena fe en el ejercicio de dicha representación. El Coordinador mantendrá indemne al Prestador, en los términos del apartado 17, frente a cualquier reclamación derivada de la falta o insuficiencia de su poder de representación.
4 bis.3. Doble plano de aceptación. La aceptación de los presentes Términos opera en dos planos diferenciados:
(a) Aceptación por el Cliente. Se produce mediante la aceptación realizada por el Coordinador en nombre y representación del Cliente, vinculando a este último como parte del contrato.
(b) Aceptación individual del Usuario. Cada Usuario, sea Coordinador o Usuario Operador, acepta los Términos a título personal como condición para poder utilizar la plataforma. Esta aceptación individual vincula exclusivamente al Usuario que la realiza en lo que respecta a sus obligaciones personales como tal (custodia de credenciales, uso aceptable, confidencialidad, etc.) y no implica representación del Cliente cuando se trata de un Usuario Operador.
4 bis.4. Bloqueo automático por aceptación pendiente. El acceso a la plataforma queda condicionado a la previa aceptación de la versión vigente de los Términos por parte de cada Usuario. La plataforma impedirá técnicamente el uso del Servicio a cualquier Usuario que no haya aceptado la versión aplicable.
5. Anonimato de las Observaciones y responsabilidad por reidentificación
5.1. La metodología del Servicio se basa en Observaciones anónimas: la plataforma no está diseñada ni configurada para registrar la identidad nominal del personal sanitario sujeto a observación.
5.2. El Cliente se compromete a no introducir en los campos de Observación datos personales identificativos del personal observado, en particular: nombre, apellidos, número de empleado, número de colegiado, DNI, fotografía u otros identificadores directos o indirectos.
5.3. Riesgo de reidentificación gestionado por el Cliente. En caso de que el Cliente decida implementar, fuera de la plataforma, mecanismos que permitan vincular Observaciones con personas físicas identificables (por ejemplo, mediante combinación con cuadrantes de turnos), dicha vinculación quedará bajo la exclusiva responsabilidad del Cliente, que deberá disponer de la base jurídica adecuada y cumplir con sus obligaciones laborales, sindicales y de protección de datos. El Cliente mantendrá indemne al Prestador frente a cualquier reclamación derivada de tal reidentificación, en los términos del apartado 17.
6. Datos del centro hospitalario
6.1. El Cliente autoriza al Prestador a tratar los datos identificativos del centro (denominación social, nombre comercial, logotipo, dirección, datos de facturación) con la finalidad de prestar el Servicio.
6.2. Salvo manifestación expresa en contrario, el Cliente autoriza al Prestador a utilizar el nombre y logotipo del centro como referencia comercial en su sitio web, materiales promocionales y propuestas a otros clientes potenciales. Esta autorización podrá ser revocada en cualquier momento mediante comunicación escrita a [email protected].
7. Modalidades de licencia, precios y facturación
7.1. Licencias publicadas. El Prestador ofrece cinco modalidades de licencia (incluyendo una licencia gratuita), cuyas características funcionales, límites de uso y precios se publican y mantienen actualizadas en el sitio web del Prestador en la sección de precios.
7.2. Licencia gratuita. La licencia gratuita no comporta obligación de pago alguna por parte del Cliente. El Prestador se reserva el derecho a modificar, limitar, suspender o discontinuar la licencia gratuita en cualquier momento y por cualquier motivo, comunicándolo al Cliente con un preaviso razonable cuando ello sea posible.
7.3. Facturación de licencias de pago. Las licencias de pago se facturan con carácter anual y por adelantado, conforme a la tarifa publicada o a la pactada en el contrato comercial específico. Los precios se entienden sin IVA u otros impuestos aplicables, que se repercutirán al Cliente en la factura correspondiente. Las condiciones de pago, plazos, intereses de demora y consecuencias del impago se regulan en el contrato comercial específico.
7.4. Modificación de tarifas. El Prestador podrá actualizar las tarifas de las licencias de pago con un preaviso de [60] días antes de la renovación. El Cliente podrá rescindir el contrato sin penalización antes de la entrada en vigor de las nuevas tarifas.
8. Duración, renovación y terminación
8.1. Duración inicial. La duración inicial del contrato es de doce (12) meses computados desde la creación de la Cuenta.
8.2. Renovación de la licencia gratuita. Las cuentas con licencia gratuita se renovarán tácitamente por períodos sucesivos de doce (12) meses, salvo cancelación por el Cliente o resolución por el Prestador en los términos previstos en estos Términos.
8.3. Renovación de las licencias de pago. La duración, mecánica de renovación y plazos de preaviso de las licencias de pago se regulan en el contrato comercial específico.
8.4. Cancelación por el Cliente. El Cliente podrá cancelar su Cuenta en cualquier momento desde el panel de configuración de su perfil. La cancelación de licencias de pago surtirá efecto conforme a los términos del contrato comercial específico, sin derecho a reembolso de las cuotas anuales abonadas, salvo pacto distinto.
8.5. Resolución y suspensión por el Prestador. El Prestador podrá resolver el contrato y/o suspender el Servicio sin necesidad de subsanación previa en los siguientes supuestos:
(a) Uso fraudulento, ilícito o gravemente contrario a los presentes Términos.
(b) Incumplimiento de las obligaciones del Cliente respecto a Usuarios y consentimientos previstas en el apartado 4.
(c) Riesgo grave para la seguridad o integridad de la plataforma o de terceros clientes.
(d) Concurso, insolvencia, liquidación o disolución del Cliente.
(e) Requerimiento de autoridad competente.
(f) Inactividad prolongada de la Cuenta gratuita.
8.6. Efectos de la terminación.
(a) Ventana de descarga. Durante un plazo de [30] días desde la fecha efectiva de terminación, el Cliente podrá descargar sus Datos del Cliente en formato estándar (CSV, JSON o equivalente).
(b) Borrado. Transcurrido dicho plazo, el Prestador procederá al borrado de los Datos del Cliente conforme a lo previsto en el DPA, sin perjuicio de las obligaciones legales de conservación.
(c) Datos agregados y anonimizados. El borrado no afectará a los datos agregados y/o anonimizados que el Prestador haya generado conforme al apartado 15, los cuales podrán continuar siendo tratados por el Prestador.
(d) Supervivencia. Las disposiciones que por su naturaleza deban subsistir tras la terminación (confidencialidad, propiedad intelectual, limitación de responsabilidad, indemnización, datos agregados, ley aplicable) continuarán en vigor.
(e) Pagos pendientes. La terminación no exonera al Cliente del pago de las cantidades devengadas hasta la fecha efectiva de la misma.
9. Modificación de los Términos y del Servicio
9.1. Derecho de modificación. El Prestador podrá modificar los presentes Términos para adaptarse a cambios legales, regulatorios, técnicos o de mercado. La versión vigente de los Términos estará siempre disponible en el sitio web del Prestador.
9.2. Notificación de cambios. Los cambios sustanciales se notificarán con un preaviso razonable mediante:
(a) Comunicación por correo electrónico a las direcciones del Coordinador y, cuando proceda, de los Usuarios Operadores.
(b) Aviso destacado en la plataforma al iniciar sesión.
9.3. Mecánica de doble aceptación. La eficacia de la nueva versión de los Términos se rige por las siguientes reglas:
(a) Aceptación por el Cliente. La nueva versión vinculará al Cliente cuando sea aceptada por su Coordinador. Hasta ese momento, el Cliente continuará vinculado por la versión inmediatamente anterior.
(b) Aceptación individual del Usuario. La nueva versión vinculará a cada Usuario individualmente desde el momento en que este la acepte a título personal. Mientras un Usuario no acepte la nueva versión, no podrá acceder al Servicio en virtud del bloqueo previsto en el apartado 4 bis.4.
(c) Coexistencia transitoria. Como consecuencia de los puntos anteriores, podrá darse una situación transitoria en la que un Usuario Operador haya aceptado la nueva versión a título individual mientras que el Cliente, a través de su Coordinador, continúe vinculado por la versión anterior. Esta coexistencia es expresamente aceptada por las partes y no genera contradicción contractual, dado que cada plano de aceptación produce efectos en su respectivo ámbito subjetivo.
9.4. Carga del Usuario Operador de notificar al Coordinador. Cuando un Usuario Operador acepte una nueva versión de los Términos antes que el Coordinador del Cliente al que pertenece, deberá:
(a) Notificar al Coordinador, sin demora indebida y por cualquier medio razonable, la existencia de la nueva versión de los Términos y la necesidad de que sea aceptada para que vincule al Cliente.
(b) Recordar al Coordinador dicha pendencia con periodicidad razonable mientras esta subsista.
Esta obligación tiene la naturaleza de carga personal del Usuario Operador cuyo incumplimiento no genera derecho a indemnización a favor del Prestador, pero sí faculta a este último a aplicar las consecuencias del apartado 9.5 sobre la Cuenta del Cliente correspondiente.
9.5. Período de tolerancia y potestad de suspensión. Si transcurridos treinta (30) días naturales desde la notificación de la nueva versión a través del aviso en plataforma, el Coordinador no la hubiera aceptado:
(a) El Prestador podrá, a su sola discreción y sin que ello constituya obligación alguna, suspender total o parcialmente el acceso al Servicio del Cliente afectado, incluidos sus Usuarios Operadores, hasta que el Coordinador acepte la nueva versión.
(b) El Prestador podrá igualmente optar por mantener el Servicio operativo durante el tiempo que estime oportuno, sin que dicha decisión suponga renuncia a su derecho de suspensión posterior ni convalidación tácita de la versión anterior frente al Cliente.
(c) Durante el período de tolerancia, el Cliente continuará vinculado por la versión anterior de los Términos, mientras que los Usuarios Operadores que hayan aceptado la nueva versión quedarán vinculados por esta última en lo que respecta a sus obligaciones personales.
9.6. Derecho de rescisión por modificación material. Si la modificación supone una reducción material de los derechos del Cliente, este podrá rescindir el contrato sin penalización mediante notificación escrita por parte del Coordinador dentro de los treinta (30) días posteriores a la comunicación. El uso continuado del Servicio por el Coordinador tras la entrada en vigor de los nuevos Términos supondrá la aceptación tácita de los mismos en nombre del Cliente.
9.7. Modificación del Servicio. El Prestador podrá actualizar, modificar, añadir o eliminar funcionalidades del Servicio con la finalidad de mejorarlo, corregir errores o adaptarlo a la evolución tecnológica.
10. Propiedad intelectual e industrial
10.1. Titularidad del Prestador. Todos los derechos de propiedad intelectual e industrial sobre el Servicio, incluyendo el software, la arquitectura, las bases de datos estructurales, el diseño de la interfaz, las marcas, los nombres de dominio, los manuales y la documentación, corresponden en exclusiva al Prestador o a sus licenciantes.
10.2. Licencia al Cliente. El Prestador concede al Cliente una licencia no exclusiva, intransferible, revocable y limitada al período de vigencia del contrato para usar el Servicio conforme a los presentes Términos.
10.3. Datos del Cliente. El Cliente conserva la titularidad de sus Datos del Cliente, incluyendo Observaciones e informes generados a partir de las mismas. El Cliente concede al Prestador una licencia limitada y no exclusiva para tratar dichos datos con la finalidad de prestar el Servicio y para los tratamientos previstos en el apartado 15 de los presentes Términos.
10.4. Prohibiciones. Queda prohibido al Cliente y a sus Usuarios:
(a) Copiar, modificar, traducir, descompilar, desensamblar, realizar ingeniería inversa o derivar trabajos del Servicio.
(b) Acceder al Servicio mediante medios automatizados (bots, crawlers, scrapers) no autorizados expresamente por escrito.
(c) Revender, sublicenciar, alquilar, ceder o explotar comercialmente el Servicio frente a terceros.
(d) Eliminar, ocultar o alterar avisos de propiedad intelectual.
(e) Utilizar el Servicio para desarrollar productos o servicios competidores.
11. Uso aceptable y obligaciones del Cliente
11.1. El Cliente se compromete a usar el Servicio:
(a) Conforme a la legislación aplicable, en particular la normativa sanitaria, laboral, de protección de datos y de seguridad de la información.
(b) Respetando los derechos del personal observado, los pacientes y terceros.
(c) Sin introducir contenido ilícito, ofensivo, calumnioso, difamatorio, ni datos personales no autorizados conforme al apartado 4.
(d) Sin interferir en el funcionamiento de la plataforma ni intentar acceder a áreas, datos o funcionalidades de otros clientes.
(e) Sin transmitir virus, malware, exploits o cualquier otro contenido dañino.
(f) Garantizando el cumplimiento de las medidas básicas de seguridad por parte de sus Usuarios.
12. Disponibilidad del Servicio
12.1. El Prestador realizará esfuerzos razonables para mantener el Servicio operativo y disponible, sin que ello suponga compromiso o garantía expresa de disponibilidad continuada, salvo en lo que se establezca en el contrato comercial específico de las licencias de pago.
12.2. El Prestador podrá realizar tareas de mantenimiento, actualización o corrección que puedan implicar interrupciones temporales del Servicio. Cuando sea posible, dichas tareas se comunicarán con antelación.
12.3. El Servicio podrá interrumpirse o limitarse por causas de fuerza mayor, fallos de proveedores externos o decisiones de autoridad competente, sin que ello genere derecho a indemnización a favor del Cliente.
13. Protección de Datos Personales
13.1. Marco normativo. El tratamiento de Datos Personales se rige por:
(a) El RGPD y la LOPDGDD.
(b) La Política de Privacidad del Prestador, accesible en el sitio web.
(c) El Contrato de Encargo de Tratamiento (DPA) que se incorpora como Anexo I y forma parte inseparable de los presentes Términos. Para las licencias de pago, prevalecerá, en caso de contradicción, el DPA específico que las partes firmen.
13.2. Roles.
(a) Respecto a los Datos Personales de los Usuarios introducidos por el Cliente en la plataforma, el Cliente actúa como Responsable del tratamiento y el Prestador como Encargado del tratamiento.
(b) Respecto a los datos del propio Cliente como contratante (datos de facturación, contacto comercial, navegación en la web corporativa), el Prestador actúa como Responsable del tratamiento conforme a su Política de Privacidad.
13.3. Ubicación de los datos. La infraestructura del Servicio está alojada en centros de datos ubicados dentro de la Unión Europea, concretamente en Alemania, garantizando el tratamiento conforme al RGPD.
13.4. Subencargados. El Prestador podrá apoyarse en subencargados para la prestación del Servicio. La relación actualizada de subencargados se mantiene a disposición del Cliente conforme al DPA, y los cambios se comunicarán con la antelación allí prevista.
13.5. Notificación de brechas de seguridad. En caso de violación de seguridad de los Datos Personales, el Prestador notificará al Cliente sin demora indebida y, en cualquier caso, dentro de las 72 horas siguientes a su detección, con la información necesaria para que el Cliente pueda cumplir con sus obligaciones del art. 33 RGPD.
13.6. Transferencias internacionales. Cualquier eventual transferencia fuera del Espacio Económico Europeo se realizará con las garantías previstas en el Capítulo V RGPD (decisiones de adecuación, Cláusulas Contractuales Tipo o equivalentes).
14. Confidencialidad
14.1. Cada parte se compromete a mantener la confidencialidad de la información a la que tenga acceso en el marco del contrato, incluyendo información técnica, comercial, financiera, protocolos clínicos, resultados de Observaciones, know-how y cualquier información identificada como confidencial o que por su naturaleza deba considerarse tal (en adelante, "Información Confidencial").
14.2. La obligación de confidencialidad subsistirá durante un plazo de cinco (5) años tras la terminación del contrato.
14.3. No se considerará Información Confidencial la que: (i) sea o llegue a ser pública sin culpa de la parte receptora; (ii) fuera conocida por la parte receptora con anterioridad sin obligación de confidencialidad; (iii) sea obtenida lícitamente de un tercero sin restricción; (iv) sea desarrollada de forma independiente; o (v) deba ser revelada por imperativo legal, judicial o de autoridad competente, en cuyo caso se notificará a la otra parte con la mayor antelación posible siempre que sea legalmente posible.
15. Datos agregados, anonimizados y mejora del Servicio
15.1. Finalidades autorizadas. El Prestador podrá tratar datos agregados y/o anonimizados derivados del uso del Servicio (en particular, número y resultados de Observaciones, tasas de cumplimiento, métricas de uso de la plataforma) con las siguientes finalidades, a las que el Cliente presta expresamente su conformidad mediante la aceptación de los presentes Términos:
(a) **Análisis estadístico y benchmarking**, tanto interno como sectorial.
(b) Mejora continua del producto y desarrollo de nuevas funcionalidades.
(c) Proyectos de investigación, tanto propios como en colaboración con instituciones académicas, sanitarias u otros terceros.
(d) Entrenamiento, validación y mejora de modelos de inteligencia artificial y otros sistemas algorítmicos del Prestador.
(e) Publicación y comercialización de informes, estudios, modelos y conclusiones derivadas de dichos tratamientos.
15.2. Anonimización irreversible. A efectos de las finalidades anteriores, el Prestador aplicará técnicas de anonimización irreversible de manera que la información tratada no permita la reidentificación de personas físicas ni de centros sanitarios concretos. Una vez anonimizados, dichos datos no se considerarán Datos Personales en el sentido del art. 4.1 RGPD ni Datos del Cliente, y el Prestador podrá tratarlos sin limitación temporal y aun después de la terminación del contrato.
15.3. Cesión a terceros. El Prestador podrá ceder, comercializar o difundir los resultados, modelos y conclusiones derivados de dichos tratamientos siempre que no permitan la reidentificación.
15.4. Datos identificables. El Prestador no utilizará los Datos del Cliente identificables (esto es, no anonimizados) para finalidades distintas a la prestación del Servicio sin autorización expresa del Cliente.
16. Limitación de garantías y responsabilidad
16.1. Servicio "tal cual". El Servicio se presta "tal cual" y "según disponibilidad" ("AS IS" / "AS AVAILABLE"). Sin perjuicio de los compromisos específicos que puedan asumirse en el contrato comercial de las licencias de pago, el Prestador no otorga garantía alguna, expresa o implícita, sobre:
(a) La disponibilidad continua, ininterrumpida o libre de errores del Servicio.
(b) La adecuación a fines particulares no expresamente acordados.
(c) Los resultados específicos derivados del uso del Servicio.
(d) La exactitud, integridad o utilidad de los informes generados.
16.2. Exclusión de responsabilidad para la licencia gratuita. Dada la naturaleza gratuita de esta modalidad de licencia, y de conformidad con los principios generales del Derecho civil aplicables a las prestaciones gratuitas (incluido, en su caso, el art. 1726 del Código Civil), el Prestador queda exonerado de toda responsabilidad por los daños o perjuicios, directos o indirectos, derivados del uso, la imposibilidad de uso, la interrupción, la pérdida de datos, los errores o la suspensión del Servicio en su modalidad gratuita, salvo en caso de dolo o culpa grave.
16.3. Licencias de pago. El régimen de responsabilidad del Prestador respecto a las licencias de pago se regulará en el contrato comercial específico.
16.4. Exclusión general de daños indirectos. En cualquier modalidad de licencia, quedan excluidos de toda indemnización los daños indirectos, lucro cesante, pérdida de oportunidades, pérdida de datos no atribuible al Prestador, daños reputacionales y cualesquiera daños consecuenciales.
16.5. Excepciones. Las limitaciones del presente apartado no se aplicarán en supuestos en los que la legislación imperativa no permita su limitación o exclusión.
17. Indemnización por el Cliente
17.1. El Cliente mantendrá indemne al Prestador frente a cualesquiera reclamaciones, sanciones, costes y gastos (incluidos honorarios razonables de letrados y procuradores) derivados de:
(a) La introducción de Datos Personales sin la base jurídica adecuada o sin haber obtenido los consentimientos necesarios de los Usuarios.
(b) El uso del Servicio en contravención de la legislación aplicable o de los presentes Términos.
(c) La identificación nominal del personal observado por el Cliente fuera de la plataforma sin las garantías legales necesarias, conforme al apartado 5.
(d) Reclamaciones de Usuarios derivadas de la falta de información o de la indebida gestión de sus derechos por parte del Cliente.
(e) Cualquier uso de las funcionalidades de inteligencia artificial fuera del marco contractual específico aplicable.
18. Fuerza mayor
18.1. Ninguna de las partes responderá por incumplimientos derivados de causas de fuerza mayor o caso fortuito, incluyendo de forma enunciativa: desastres naturales, ciberataques masivos no atribuibles a falta de diligencia, conflictos armados, actos terroristas, decisiones gubernamentales, fallos generalizados de proveedores de telecomunicaciones o de proveedores cloud críticos, pandemias y epidemias declaradas.
18.2. La parte afectada deberá notificar la causa de fuerza mayor sin demora y adoptar medidas razonables para mitigar su impacto.
18.3. Si la causa de fuerza mayor se prolonga más de [60] días, cualquiera de las partes podrá resolver el contrato sin penalización.
19. Cesión
19.1. El Cliente no podrá ceder total o parcialmente los derechos y obligaciones del contrato a terceros sin el consentimiento previo y por escrito del Prestador.
19.2. El Prestador podrá ceder el contrato a empresas de su grupo o en supuestos de reestructuración empresarial, fusión, escisión o venta de la unidad de negocio, comunicándolo al Cliente.
19.3. La subcontratación de servicios técnicos relativos al tratamiento de Datos Personales se rige por lo previsto en el DPA (Anexo I).
20. Notificaciones
20.1. Las notificaciones operativas del Servicio (avisos de mantenimiento, actualizaciones, incidencias de seguridad) se realizarán por correo electrónico a las direcciones designadas por el Cliente o mediante el panel de la plataforma.
20.2. Las notificaciones formales entre las partes (resolución contractual, modificación sustancial de Términos, requerimientos legales) se realizarán por escrito a las direcciones que figuren en la Cuenta del Cliente o en el contrato comercial específico, mediante (i) correo electrónico con confirmación de recepción, (ii) correo certificado con acuse de recibo, o (iii) burofax o sistema equivalente.
20.3. Cualquier cambio de dirección de notificaciones deberá comunicarse a la otra parte por los mismos medios.
21. Comunicaciones comerciales
21.1. El Cliente acepta recibir comunicaciones operativas del Servicio necesarias para su correcta prestación.
21.2. El Cliente acepta recibir comunicaciones comerciales sobre productos y servicios del Prestador relacionados con su actividad. Podrá oponerse a estas comunicaciones en cualquier momento mediante el enlace de baja incluido en cada comunicación o escribiendo a [email protected].
22. Cumplimiento normativo y anti-corrupción
22.1. Las partes se comprometen a cumplir la legislación aplicable en materia de prevención del blanqueo de capitales, soborno y corrupción, incluyendo el Código Penal y la normativa equivalente.
22.2. Cuando el Cliente sea una entidad del sector público, el régimen contractual específico, las obligaciones de cumplimiento normativo y la jurisdicción aplicable se establecerán en el contrato comercial específico, conforme a la Ley 9/2017 de Contratos del Sector Público y demás normativa aplicable.
23. Disposiciones generales
23.1. Acuerdo íntegro. Los presentes Términos, junto con sus Anexos, el contrato comercial específico (cuando exista) y la Política de Privacidad, constituyen el acuerdo íntegro entre las partes y prevalecen sobre cualquier acuerdo, oferta, propuesta o entendimiento previo.
23.2. Orden de prelación. En caso de contradicción entre documentos, prevalecerá: (i) el contrato comercial específico de la licencia de pago, en su caso; (ii) los Anexos; (iii) los presentes Términos; (iv) la Política de Privacidad.
23.3. Divisibilidad. La nulidad o ineficacia de cualquier cláusula no afectará a la validez del resto del contrato, que se mantendrá en vigor en lo no afectado. Las partes se comprometen a sustituir la cláusula nula por otra que persiga el mismo fin económico-jurídico.
23.4. No renuncia. La falta de ejercicio de cualquier derecho por una parte no se interpretará como renuncia al mismo.
23.5. Idioma. La versión en castellano de los Términos prevalecerá sobre cualquier traducción.
24. Ley aplicable y jurisdicción
24.1. Los presentes Términos se rigen por la legislación española.
24.2. Para la resolución de cualquier controversia derivada del contrato, las partes se someten expresamente a la jurisdicción de los Juzgados y Tribunales de Granada, con renuncia a cualquier otro fuero que pudiera corresponderles.
24.3. Con carácter previo y voluntario, las partes podrán acudir a un mecanismo de mediación o arbitraje conforme a la Ley 60/2003 de Arbitraje, sin que ello sea óbice al ejercicio posterior de acciones judiciales.
24.4. Cuando el Cliente sea una entidad del sector público, la jurisdicción competente y régimen aplicable será el establecido en el contrato comercial específico conforme a la Ley 9/2017 de Contratos del Sector Público.
Anexo I — Contrato de Encargo de Tratamiento (DPA)
En aplicación del art. 28 RGPD, el Cliente (en su condición de Responsable del tratamiento) y HEALTH AND PREVENTIVE SYSTEMS, S.L. (en su condición de Encargado del tratamiento) suscriben, mediante la aceptación de los presentes Términos, el siguiente Contrato de Encargo de Tratamiento.
1. Objeto del Encargo
El presente Encargo regula el tratamiento de Datos Personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del Servicio Manos Seguras 3.0.
2. Identificación del tratamiento
| Concepto | Descripción |
|---|---|
| Categorías de interesados | Usuarios de la plataforma autorizados por el Responsable (personal sanitario, observadores, supervisores, administradores). |
| Categorías de datos | Datos identificativos y de contacto profesional: nombre, apellidos, correo electrónico corporativo, rol/perfil, centro de trabajo, registros de actividad y conexión en la plataforma. |
| Finalidad del tratamiento | Permitir al Responsable el uso del Servicio para el registro, análisis y reporte de Observaciones anónimas de higiene de manos. |
| Naturaleza del tratamiento | Recogida, registro, organización, estructuración, conservación, consulta, comunicación y supresión. |
| Duración | Vigencia del contrato, más los períodos de conservación previstos en el apartado 8 de este Anexo. |
El tratamiento no incluye datos de pacientes, datos de salud ni categorías especiales del art. 9 RGPD, salvo que el Responsable los introdujera indebidamente, en cuyo caso será de su exclusiva responsabilidad.
3. Obligaciones del Encargado
El Encargado se obliga a:
(a) Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, entendiéndose como tales los presentes Términos y el uso normal de la plataforma. Si el Encargado considera que una instrucción infringe la normativa de protección de datos, lo comunicará al Responsable.
(b) Garantizar que las personas autorizadas para tratar los Datos Personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad equivalente.
(c) Adoptar las medidas técnicas y organizativas apropiadas conforme al art. 32 RGPD, en los términos del Anexo II.
(d) No comunicar los datos a terceros, salvo autorización expresa del Responsable o por imperativo legal.
(e) Asistir al Responsable en la respuesta al ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad), aplicando las medidas técnicas y organizativas apropiadas en la medida de lo posible.
(f) Asistir al Responsable en el cumplimiento de sus obligaciones en materia de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas a la autoridad de control (arts. 32 a 36 RGPD), teniendo en cuenta la naturaleza del tratamiento y la información disponible.
(g) Poner a disposición del Responsable, a solicitud razonable, la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD.
(h) Devolver o suprimir los Datos Personales conforme al apartado 8 de este Anexo.
4. Subencargados
4.1. El Responsable autoriza con carácter general al Encargado a contratar subencargados para la prestación del Servicio (en particular, proveedores de infraestructura cloud, herramientas de soporte y servicios de mantenimiento técnico).
4.2. La relación actualizada de subencargados está disponible a petición del Cliente escribiendo a [email protected].
4.3. El Encargado comunicará al Responsable, con un preaviso razonable, cualquier incorporación o sustitución de subencargado, durante el cual el Responsable podrá oponerse fundadamente conforme al art. 28.2 RGPD. La oposición fundada podrá comportar, a elección del Responsable, la resolución del contrato sin penalización.
4.4. El Encargado impondrá a sus subencargados, mediante contrato, las mismas obligaciones de protección de datos que las que asume frente al Responsable, respondiendo el Encargado del incumplimiento de sus subencargados.
5. Ubicación del tratamiento y transferencias internacionales
5.1. El tratamiento se realiza en infraestructuras ubicadas dentro del Espacio Económico Europeo, concretamente en Alemania.
5.2. Cualquier eventual transferencia fuera del EEE se efectuará exclusivamente a países con decisión de adecuación de la Comisión Europea o mediante la aplicación de Cláusulas Contractuales Tipo u otras garantías previstas en el Capítulo V RGPD.
6. Notificación de violaciones de seguridad
6.1. El Encargado notificará al Responsable cualquier violación de seguridad de los Datos Personales sin demora indebida y, en cualquier caso, en un plazo máximo de 72 horas desde su conocimiento, mediante comunicación a la dirección de contacto del Responsable.
6.2. La notificación incluirá, en la medida de lo posible: la naturaleza de la violación, los datos e interesados afectados, las posibles consecuencias y las medidas adoptadas o propuestas.
7. Auditoría
7.1. El Responsable podrá verificar el cumplimiento del Encargo mediante:
(a) La revisión de la documentación de cumplimiento que el Encargado ponga a su disposición a requerimiento razonable.
(b) Auditorías propias o realizadas por un tercero independiente designado de común acuerdo, con un preaviso mínimo de treinta (30) días, en horario laboral, sin afectar a la operativa del Encargado y respetando la confidencialidad de la información de otros clientes.
7.2. La frecuencia ordinaria de las auditorías será de una vez al año, salvo en caso de violación de seguridad acreditada o requerimiento de autoridad competente.
7.3. Los costes de la auditoría serán a cargo del Responsable, salvo que de la misma se deriven incumplimientos imputables al Encargado.
8. Devolución y supresión de los Datos Personales
8.1. A la terminación del contrato y durante un plazo de treinta (30) días, el Responsable podrá descargar los Datos Personales en formato estándar (CSV, JSON o equivalente) desde la propia plataforma.
8.2. Transcurrido dicho plazo, el Encargado procederá a la supresión segura de los Datos Personales, salvo obligación legal de conservación. A solicitud del Responsable, el Encargado emitirá certificado de supresión.
8.3. La supresión no afectará a los datos previamente anonimizados de forma irreversible conforme al apartado 15 de los Términos, los cuales podrán ser conservados y tratados por el Encargado sin limitación temporal.
9. Responsabilidad
Las partes responderán de los incumplimientos en materia de protección de datos conforme al art. 82 RGPD y a los apartados 16 y 17 de los Términos.
10. Vigencia
El presente Encargo entrará en vigor con la aceptación de los Términos y permanecerá vigente mientras se preste el Servicio, subsistiendo las obligaciones que por su naturaleza deban hacerlo tras la terminación.
Anexo II — Medidas técnicas y organizativas de seguridad
En cumplimiento del art. 32 RGPD, el Prestador implementa, mantiene y revisa periódicamente las siguientes medidas técnicas y organizativas, atendiendo al estado de la técnica, los costes de aplicación, la naturaleza del tratamiento y los riesgos para los derechos y libertades de los interesados.
1. Cifrado y comunicaciones
1.1. Cifrado en tránsito mediante protocolos TLS 1.2 o superior en todas las comunicaciones entre los dispositivos de los Usuarios y la plataforma.
1.2. Cifrado en reposo de las bases de datos que contienen Datos Personales mediante algoritmos estándar del sector (AES-256 o equivalente).
1.3. Gestión segura de claves de cifrado, con acceso restringido al personal estrictamente necesario.
2. Control de accesos
2.1. Autenticación individual mediante credenciales personales e intransferibles.
2.2. Política de contraseñas robustas (longitud mínima, complejidad, caducidad).
2.3. Control de accesos basado en roles (RBAC) y aplicación del principio de mínimo privilegio.
2.4. Acceso del personal del Prestador a los Datos Personales únicamente al estrictamente necesario para la prestación del Servicio o el soporte solicitado por el Cliente.
2.5. Bloqueo automático de cuentas tras intentos fallidos reiterados de acceso.
3. Trazabilidad y registro de actividad
3.1. Registro de eventos de seguridad relevantes (accesos, cambios de configuración, operaciones críticas).
3.2. Conservación de los registros durante un periodo razonable que permita su revisión ante incidentes de seguridad.
4. Copias de seguridad y continuidad
4.1. Realización periódica de copias de seguridad de los datos almacenados en la plataforma.
4.2. Almacenamiento de las copias en ubicación distinta y segura dentro del EEE.
4.3. Pruebas periódicas de restauración para verificar la integridad y disponibilidad de las copias.
4.4. Plan básico de continuidad y recuperación ante incidentes graves.
5. Seguridad del software y la infraestructura
5.1. Aplicación regular de actualizaciones y parches de seguridad sobre los sistemas operativos, librerías y componentes utilizados.
5.2. Uso de servicios de hosting profesional dentro del EEE (Alemania), con medidas físicas y lógicas de protección estándar del sector.
5.3. Separación lógica de los datos entre clientes (multi-tenant seguro).
5.4. Pruebas de seguridad sobre el código y la infraestructura con la frecuencia que el Prestador determine razonable según el estado de la técnica.
6. Personal y organización
6.1. Compromiso de confidencialidad firmado por todo el personal del Prestador con acceso a Datos Personales.
6.2. Formación básica del personal en materia de protección de datos y seguridad de la información.
6.3. Designación de personas responsables de la gestión de la seguridad y de la protección de datos en el Prestador.
7. Gestión de incidentes
7.1. Procedimiento interno de detección, registro y respuesta ante incidentes de seguridad.
7.2. Notificación al Cliente, en su condición de Responsable del tratamiento, de las violaciones de seguridad de los Datos Personales en el plazo máximo de 72 horas, conforme al Anexo I.
8. Gestión de subencargados
8.1. Selección de subencargados que ofrezcan garantías suficientes en materia de protección de datos.
8.2. Formalización contractual de las obligaciones de protección de datos con los subencargados.
9. Revisión y mejora continua
9.1. Revisión periódica de las medidas de seguridad para adecuarlas al estado de la técnica y a la evolución de los riesgos.
9.2. El Prestador podrá actualizar las medidas descritas en este Anexo sin que ello suponga una reducción del nivel de protección.
© HEALTH AND PREVENTIVE SYSTEMS, S.L. Todos los derechos reservados.