Acuerdo de tratamiento de datos
Esta plantilla operativa debe completarse con las partes, vigencia, subencargados y datos de contacto, y ser aprobada por asesoría jurídica mexicana antes de aceptarse en producción.
Roles y alcance
[Razón social de la organización] actúa como responsable de los datos personales de pacientes e instruye a [entidad legal de la plataforma] como encargado únicamente para prestar MiMediciNilla. El tratamiento comprende datos de identificación, contacto, agenda, expediente clínico, comunicaciones, facturación y seguridad durante la vigencia contractual y los plazos legales de conservación.
Instrucciones documentadas
El encargado trata los datos solo conforme a instrucciones documentadas del responsable, la legislación aplicable y este acuerdo. No venderá datos personales ni usará información de salud para publicidad o entrenamiento de modelos no relacionado.
Seguridad y confidencialidad
El encargado aplica control de acceso, MFA, aislamiento de organizaciones, cifrado en tránsito y reposo, auditoría inmutable, respaldos, recuperación probada, gestión de vulnerabilidades y deberes de confidencialidad adecuados para datos sensibles de salud.
Subencargados y transferencias
Los subencargados autorizados, su finalidad, país o región y salvaguardas se enumeran en [URL del anexo de subencargados]. El encargado exige protecciones contractuales equivalentes y notificará cambios materiales.
Solicitudes de titulares y auditoría
El encargado auxilia al responsable con solicitudes ARCO, revocación de consentimiento, evidencia, evaluaciones de seguridad y registros legalmente exigibles dentro de los plazos acordados en [anexo de servicio].
Incidentes de seguridad
El encargado notifica al responsable sin demora indebida tras confirmar un incidente de datos personales y aporta el alcance, impacto, contención, evidencia y remediación conocidos para que el responsable cumpla sus obligaciones.
Devolución, eliminación y conservación
Al terminar, los datos se exportan o bloquean o eliminan conforme a instrucción documentada del responsable, sin perjuicio de NOM-004 y otros plazos obligatorios. Los respaldos expiran según el calendario de conservación y la evidencia de auditoría permanece protegida durante el plazo exigido. Vigencia: [fecha].