ACUERDO DE PROTECCIÓN DE DATOS

1.1 «Leyes Aplicables de Protección de Datos» significa todas las leyes y reglamentos aplicables relacionados con la privacidad, la seguridad, la protección y el tratamiento de Datos Personales, incluyendo, sin limitación y según corresponda: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) («RGPD»), la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas; el Reglamento General de Protección de Datos del Reino Unido (Reglamento (UE) 2016/679) («UK GDPR») y la Data Protection Act 2018; la Ley Federal Suiza de Protección de Datos 235.1 de 25 de septiembre de 2020; la California Consumer Privacy Act de 2018 («CCPA»), en su versión modificada por la California Privacy Rights Act de 2020 («CPPA»); la ley estadounidense Health Insurance Portability and Accountability Act («HIPAA»); la Ley de Protección de la Información Personal de la República Popular China («PIPL»); y todas las demás normativas relevantes de protección de datos en las jurisdicciones donde las Partes operen.

1.2 «Cliente» significa el profesional o centro de atención auditiva debidamente autorizado que dispensa dispositivos auditivos a los Usuarios Finales.

1.3 «Usuarios Finales» se refiere a las personas que utilizan directamente un dispositivo auditivo de Sonova.

1.4 «Datos Personales» tendrá el significado establecido en las Leyes Aplicables de Protección de Datos (por ejemplo, cualquier dato relativo a una persona física identificada o identificable) o según se haga referencia en las mismas (por ejemplo, información personal, información de identificación personal). A efectos aclaratorios, los Datos Personales no incluyen la información que haya sido anonimizada o agregada de forma que el individuo ya no sea identificable.

1.5 A efectos del presente DPA, los términos «Autoridad de Control», «Delegado de Protección de Datos», «Datos Personales», «Interesados» (o «Personas Interesadas»), «Seudonimización», «Responsable del Tratamiento», «Tratamiento», «Transferencia», «Encargado del Tratamiento», «Venta», «Compartir» y «Compartición», así como «Violación de Datos Personales», tendrán el mismo significado que se les otorga en las Leyes Aplicables de Protección de Datos.

3.1 Dependiendo de la naturaleza del producto y/o servicio prestado, Sonova y el Cliente podrán actuar como Responsables independientes del Tratamiento o como Responsables Conjuntos del Tratamiento, según se definen dichos términos en las Leyes Aplicables de Protección de Datos. La función aplicable se determinará en función de la actividad de tratamiento específica y de las finalidades y medios del tratamiento definidos en relación con el producto o servicio correspondiente.

3.2 Cuando las Partes actúen como Responsables Conjuntos del Tratamiento, dicho tratamiento se regirá por la Sección A del presente DPA (Artículos 4 a 12).

3.3 Cuando las Partes actúen como Responsables independientes del Tratamiento, dicho tratamiento se regirá por la Sección B del presente DPA (Artículo 13).

3.4 En la medida en que, en el curso de su relación, una Parte trate Datos Personales por cuenta de la otra Parte y, por tanto, reúna la condición de Encargado del Tratamiento que actúa por cuenta de un Responsable del Tratamiento en el sentido de las Leyes Aplicables de Protección de Datos, las Partes acuerdan celebrar un acuerdo de tratamiento de datos separado entre ellas.

4.1 Las Partes reconocen que, en el contexto del uso de los productos y servicios de Sonova, pueden actuar como Responsables Conjuntos del Tratamiento respecto de los Datos Personales relativos a los Usuarios Finales, cuando ambas Partes determinen conjuntamente las finalidades y los medios del Tratamiento.

4.2 Las Partes reconocen y acuerdan que, por regla general, las siguientes actividades no requieren la comunicación ni el intercambio de Datos Personales de los Usuarios Finales con Sonova. No obstante lo anterior, cuando los Datos Personales se compartan efectivamente, las Partes actuarán como Responsables Conjuntos del Tratamiento para el Tratamiento de Datos Personales con las siguientes finalidades:

a) Servicio postventa de los productos, incluida la reparación, sustitución o mantenimiento, cuando dicho tratamiento sea necesario para la ejecución del contrato con el Usuario Final. En función de las circunstancias, el servicio postventa de los productos podrá estar sujeto a la obtención de un consentimiento adicional o de otra base jurídica aplicable.
b) Uso de herramientas y software relacionados con el producto, incluidas actualizaciones de software, supervisión remota o configuración del dispositivo, cuando sea necesario para la ejecución del contrato con el Usuario Final o sobre la base de un fundamento jurídico lícito. Fabricación del producto, incluida la personalización o adaptación del producto al Usuario Final, cuando sea necesario para la ejecución del contrato con el Usuario Final y sobre la base de una base jurídica válida conforme a las Leyes Aplicables de Protección de Datos.

4.3 Cuando, por su propia conveniencia operativa, el Cliente opte por comunicar o poner a disposición Datos Personales de Usuarios Finales a Sonova más allá de lo estrictamente necesario para las finalidades establecidas en el Artículo 4.2, el Cliente deberá:

a) garantizar el cumplimiento del principio de minimización de datos previsto en las Leyes Aplicables de Protección de Datos;
b) identificar y documentar una base jurídica adecuada, incluyendo la obtención de un consentimiento válido cuando sea necesario;
c) proporcionar a los Interesados la información requerida de conformidad con las Leyes Aplicables de Protección de Datos, incluyendo información clara sobre la comunicación de sus Datos Personales a Sonova, las finalidades de dicha comunicación y las funciones respectivas de las Partes.

4.4 El Cliente declara y garantiza que cualquier Dato Personal compartido con Sonova en el contexto de un tratamiento conjunto ha sido recopilado de forma lícita y puede ser tratado lícitamente para las finalidades establecidas en el presente DPA, en cualquier documentación de privacidad adicional y de acuerdo con las Leyes Aplicables de Protección de Datos.

4.5 El Cliente no venderá ni compartirá los Datos Personales de los Usuarios Finales, ni utilizará, conservará, comunicará o tratará de otro modo la información confidencial o de propiedad exclusiva de Sonova fuera de su relación comercial con Sonova ni para cualquier otro fin empresarial o comercial, salvo cuando la ley lo exija.

5.1 Las Partes acuerdan que el tratamiento de Datos Personales, cuyas finalidades y medios determinan conjuntamente, tendrá las características establecidas en el aviso de privacidad aplicable, que se incorpora por referencia al presente DPA.

5.2 Sonova podrá agregar o anonimizar Datos Personales de modo que los datos resultantes dejen de constituir Datos Personales en virtud de las Leyes Aplicables de Protección de Datos y siempre que dichos datos no puedan ser identificados o asociados a un Interesado por Sonova (en conjunto, los «Datos Agregados»), y podrá utilizar dichos Datos Agregados para sus propios fines internos (por ejemplo, investigación y mejora de servicios, inteligencia artificial generativa) en la medida permitida en el Contrato de Usuario Profesional y en las Leyes Aplicables de Protección de Datos.

6.1 Las Partes se comprometen a:

a) Garantizar que el personal que tenga acceso a los Datos Personales o participe en su tratamiento en virtud de este Contrato esté sujeto a una obligación de confidencialidad y reciba la formación necesaria en materia de protección de Datos Personales;
b) Adoptar todas las medidas necesarias para cumplir las Leyes Aplicables de Protección de Datos, incluyendo mantener un registro de las actividades de tratamiento y cooperar en la realización de evaluaciones de impacto sobre la protección de datos relacionadas con el tratamiento de Datos Personales, según corresponda;
c) En caso de subcontratación de las actividades de tratamiento, garantizar que todos los proveedores, subcontratistas u otros terceros cumplan las obligaciones derivadas del presente DPA;
d) Suprimir o destruir de forma segura todos los Datos Personales, incluidas todas sus copias y reproducciones, salvo en la medida en que la legislación aplicable exija la conservación de dichos datos.

7.1 El Cliente será responsable de proporcionar información sobre el tratamiento de Datos Personales a los Usuarios Finales afectados por dicho tratamiento, de conformidad con las Leyes Aplicables de Protección de Datos, y de obtener y documentar cualquier consentimiento requerido u otra base jurídica del Usuario Final antes de compartir Datos Personales con Sonova.

7.2 Los Interesados podrán ejercer sus derechos frente a cualquiera de las Partes. Las Partes cooperarán de buena fe para garantizar respuestas oportunas y conformes.

8.1 Cada Parte aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo asociado con el Tratamiento de Datos Personales, teniendo en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, alcance, contexto y fines del Tratamiento.

8.2 Sin limitación, tales medidas incluirán, según corresponda o sea exigido por la ley:

a) La seudonimización y el cifrado de los Datos Personales para protegerlos frente a accesos o divulgaciones no autorizados;
b) Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento, incluyendo salvaguardias administrativas, técnicas y físicas;
c) Procedimientos para restablecer la disponibilidad de los Datos Personales y el acceso a los mismos de forma oportuna en caso de incidente físico o técnico;
d) Pruebas, evaluaciones y valoraciones periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Tratamiento, incluyendo pruebas de vulnerabilidad y pruebas de penetración cuando proceda;
e) Medidas de control de acceso para garantizar que solo el personal autorizado con una necesidad legítima pueda acceder a los Datos Personales;
f) Registro y supervisión de las actividades de Tratamiento para detectar, prevenir y responder a accesos no autorizados o incidentes de seguridad; y
g) Programas de formación y concienciación para empleados a fin de garantizar que el personal implicado en el Tratamiento comprenda sus obligaciones en virtud de las Leyes Aplicables de Protección de Datos y del presente DPA.

8.3 Cada Parte será responsable de aplicar las medidas de seguridad en su respectivo ámbito de responsabilidad y notificará sin demora a la otra Parte cualquier incidente de seguridad que razonablemente pueda afectar a Datos Personales compartidos o tratados conjuntamente.

9.1 Las Partes podrán utilizar Encargados del Tratamiento, con sujeción al cumplimiento de las disposiciones del Artículo 9.

9.2 Todo Tratamiento realizado por Encargados del Tratamiento estará sujeto a un acuerdo escrito entre la Parte correspondiente y los Encargados del Tratamiento que exija a estos cumplir las mismas obligaciones y restricciones que se contemplan en el presente DPA, incluyendo garantías expresas de los Encargados del Tratamiento de aplicar medidas técnicas y organizativas para garantizar que el Tratamiento cumpla todos los requisitos de las Leyes Aplicables de Protección de Datos.

9.3 Cada Parte mantendrá una lista actualizada de sus Encargados del Tratamiento implicados en el tratamiento de Datos Personales en virtud del presente DPA. A petición razonable y por escrito de la otra Parte, se pondrá a disposición dicha lista, quedando facultada la Parte que la proporciona para tachar o limitar información en la medida necesaria para proteger información confidencial o la seguridad.

9.4 Cada Parte seguirá siendo responsable del Tratamiento de Datos Personales y de cualquier acto u omisión de sus Encargados del Tratamiento, como si tales actos u omisiones hubieran sido realizados por la Parte correspondiente.

10.1 En caso de una Violación de Datos Personales, las Partes se comprometen a cooperar y a informarse mutuamente sin demora indebida después de tener conocimiento de una Violación de Datos Personales que afecte a Datos Personales tratados en virtud del presente DPA. Dicha notificación incluirá toda la información razonablemente necesaria para permitir que la otra Parte cumpla sus obligaciones en virtud de las Leyes Aplicables de Protección de Datos.

10.2 Las Partes cooperarán de buena fe para evaluar el alcance, la naturaleza y las consecuencias probables de la Violación de Datos Personales, y para determinar si la violación es probable que resulte en un riesgo o un alto riesgo para los derechos y libertades de las personas físicas.

10.3 La Parte afectada por la Violación de Datos Personales llevará a cabo una investigación y un análisis con el fin de determinar las consecuencias de la Violación de Datos Personales y, en particular, si es probable que cree un riesgo para los derechos y libertades de los Interesados. A este respecto:

a) La Parte afectada será responsable de notificar a la autoridad de control competente y, cuando sea necesario, a los Interesados afectados, salvo que las Leyes Aplicables de Protección de Datos dispongan otra cosa. La otra Parte proporcionará toda la ayuda e información necesarias para permitir que dicha notificación se efectúe dentro de los plazos aplicables;
b) La Parte afectada implantará lo antes posible las medidas necesarias para subsanar la Violación de Datos Personales;
c) La Parte afectada documentará la Violación de Datos Personales a fin de garantizar su trazabilidad, tanto si el análisis demuestra como si no que existe un riesgo para los derechos y libertades de los Interesados.

11.1 Las Partes se comprometen, en caso de Transferencia de Datos Personales fuera del país en el que se recaban los Datos Personales y si el país importador no se considera que disponga de un nivel adecuado de protección de datos conforme a la Ley Aplicable de Protección de Datos, a cooperar para garantizar:

a) La implantación de procedimientos adecuados para cumplir la legislación en materia de Datos Personales, en particular cuando sea necesaria la solicitud de autorización a la autoridad de control competente;
b) La implantación de garantías organizativas, técnicas y jurídicas apropiadas para regir dicha transferencia y garantizar el nivel necesario y adecuado de protección en virtud de la legislación sobre Datos Personales;
c) En su caso, la implantación de mecanismos legítimos de transferencias transfronterizas, tales como las cláusulas contractuales tipo adoptadas por la Comisión Europea (Decisión 2010/87/UE de 5 de febrero de 2010 o versiones más recientes, incluidas las cláusulas contractuales tipo establecidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021), el International Data Transfer Agreement o el International Data Transfer Addendum emitidos por la Information Commissioner’s Office del Reino Unido, las cláusulas contractuales tipo u otros mecanismos de transferencia reconocidos en la legislación suiza de protección de datos o en la normativa de la Autoridade Nacional de Proteção de Dados, incluyendo entre todas las filiales pertinentes cuando sea necesario.

11.2 En función del país tercero importador, las Partes se comprometen a adoptar medidas suplementarias, tales como la realización de una evaluación de adecuación de la transferencia de datos, cuando, tras la evaluación de las circunstancias de la transferencia y de la legislación del país tercero, sea necesario para la protección de los Datos Personales transferidos.

12.1 Las Partes se facilitarán mutuamente, previa solicitud, los datos de contacto de su Delegado de Protección de Datos.

13.1 Sonova actúa como Responsable independiente del Tratamiento para el tratamiento de Datos Personales relativos al Cliente y/o a sus representantes, empleados o personas de contacto con las siguientes finalidades. Cuando resulte aplicable el RGPD, se aplicarán las bases jurídicas que se indican a continuación:

a) ejecución de pedidos y cumplimiento del contrato (artículo 6, apartado 1, letra b), del RGPD);
b) seguimiento de la relación con el Cliente y atención de solicitudes (artículo 6, apartado 1, letra b), del RGPD);
c) gestión administrativa del expediente del Cliente (artículo 6, apartado 1, letra b), y artículo 6, apartado 1, letra f), del RGPD);
d) gestión de la relación y de la cuenta con el Cliente (artículo 6, apartado 1, letra b), y artículo 6, apartado 1, letra f), del RGPD);
e) contabilidad y gestión financiera (artículo 6, apartado 1, letra b), y artículo 6, apartado 1, letra f), del RGPD);
f) operaciones de servicio postventa (artículo 6, apartado 1, letra b), y artículo 6, apartado 1, letra f), del RGPD);
g) actividades de ventas y marketing (artículo 6, apartado 1, letra f), del RGPD);
h) concursos e iniciativas promocionales (artículo 6, apartado 1, letra a), del RGPD);
i) organización de eventos profesionales (artículo 6, apartado 1, letra a), del RGPD).

13.2 Sonova actúa como Responsable independiente del Tratamiento para el tratamiento de Datos Personales relativos a los Usuarios Finales (incluidos pacientes) del Cliente con las siguientes finalidades. Cuando resulte aplicable el RGPD, se aplicarán las bases jurídicas indicadas a continuación:

a) cumplimiento de las obligaciones legales y reglamentarias aplicables, incluidas las derivadas del Reglamento (UE) 2017/745 sobre los productos sanitarios («MDR») (artículo 6, apartado 1, letra c), del RGPD);
b) uso de herramientas y software auxiliares a los productos desarrollados por Sonova, según se describe con más detalle en el aviso o política de privacidad aplicable.

13.3 El Cliente actúa como Responsable independiente del Tratamiento para el tratamiento de Datos Personales relativos a sus propios Usuarios Finales (incluidos pacientes) para sus propias finalidades, incluida la gestión de su relación comercial y la prestación de la atención, en cumplimiento de sus obligaciones legales y reglamentarias.