Anexo sobre procesamiento de datos (DPA)
Última actualización: octubre de 2025
Introducción
Este Anexo sobre el Tratamiento de Datos (el «Anexo» o «DPA») forma parte y complementa los Términos de Uso y la Política de Uso Aceptable de www.nexo-aligners.com (el «Sitio Web»), operado por FACE Orthodontics SRL, Str. Pompiliu Teodor 26, Cluj-Napoca, Rumanía (el «Encargado del Tratamiento» o «FACE Orthodontics SRL»). Este Anexo rige el tratamiento de datos personales realizado por FACE Orthodontics SRL en nombre del profesional dental u ortodoncista colegiado (el «Responsable del Tratamiento») en relación con el uso del Sitio Web, el Portal de Médicos, el sistema de envío de casos y los servicios relacionados (los «Servicios»). Este Anexo garantiza que todo el tratamiento de datos personales cumple con el Reglamento General de Protección de Datos (RGPD) de la UE y la legislación rumana aplicable en materia de protección de datos.
1. Propósito y alcance
Este Anexo define los términos y condiciones bajo los cuales FACE Orthodontics SRL trata datos personales en nombre del Responsable del Tratamiento al prestar servicios de gestión de casos de ortodoncia y planificación de alineadores digitales. El tratamiento incluye la recopilación, el almacenamiento, la transferencia y otras operaciones realizadas con los datos personales proporcionados o cargados por el Responsable del Tratamiento a través del Sitio Web o sistemas asociados.
2. Funciones de las partes
El Responsable del Tratamiento determina los fines y los medios del tratamiento de los datos personales de los pacientes y otras personas. El Encargado del Tratamiento, FACE Orthodontics SRL, trata dichos datos personales únicamente en nombre del Responsable del Tratamiento y de acuerdo con sus instrucciones documentadas.
3. Categorías de datos y titulares de los datos
El Encargado del Tratamiento podrá tratar las siguientes categorías de datos personales, tal y como se describe en el Anexo I de la presente Adenda, incluyendo:
- Datos de identificación del paciente
- Escáneres intraorales, radiografías y CBCT
- Fotografías faciales e intraorales
- Planes de tratamiento de ortodoncia
- Cuenta profesional e información de contacto (de los Controladores y su personal)
Los interesados podrán incluir pacientes, profesionales dentales y otras personas implicadas en el proceso de tratamiento o asistencia.
4. Obligaciones del Encargado del Tratamiento
FACE Orthodontics SRL deberá:
1. Procesar datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, incluso en lo que respecta a las transferencias de datos personales a terceros países.
2. Garantizar que las personas autorizadas a tratar datos personales estén sujetas a obligaciones de confidencialidad.
3. Implementar medidas de seguridad técnicas y organizativas apropiadas para proteger los datos personales.
4. Ayudar al Responsable del Tratamiento a garantizar el cumplimiento de las obligaciones relativas a la seguridad de los datos, la notificación de infracciones, las evaluaciones de impacto de la protección de datos y las consultas con las autoridades de control.
5. Notificar al Responsable del Tratamiento sin demora indebida después de tener conocimiento de cualquier violación de datos personales.
6. Al finalizar la prestación del servicio, eliminar o devolver todos los datos personales a solicitud del Responsable, salvo que la conservación sea exigida por ley.
5. Confidencialidad
Todos los datos personales tratados en virtud de este Anexo serán tratados con estricta confidencialidad. El Encargado del Tratamiento garantizará que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales no los trate salvo por instrucciones del Responsable del Tratamiento.
6. Medidas de seguridad
El Encargado del Tratamiento implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras:
- Cifrado de datos y seudonimización
- Control de acceso y autenticación de usuarios
- Transferencia segura de datos y comunicaciones cifradas
- Copias de seguridad de datos periódicas y auditorías del sistema.
- Almacenamiento seguro en centros de datos con sede en la UE.
7. 7. Subprocesadores
El Responsable autoriza al Encargado a contratar subencargados del tratamiento para actividades específicas de tratamiento de datos, siempre que:
- El subencargado del tratamiento estará obligado por obligaciones escritas equivalentes a las establecidas en el presente Anexo.
- El Encargado del Tratamiento sigue siendo plenamente responsable ante el Responsable del Tratamiento por el desempeño de cualquier subencargado del tratamiento.
Se podrá proporcionar una lista de subprocesadores aprobados mediante solicitud por escrito.
8. Asistencia al Responsable del Tratamiento
El Encargado del Tratamiento asistirá al Responsable en:
- Responder a las solicitudes de los interesados que buscan ejercer sus derechos bajo el RGPD.
- Realización de evaluaciones de impacto en materia de protección de datos.
- Garantizar el cumplimiento de las obligaciones de notificación de violaciones de datos.
9. Derechos del titular de los datos
El Responsable del Tratamiento es responsable de responder a las solicitudes de los interesados para ejercer sus derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición). El Encargado del Tratamiento notificará al Responsable del Tratamiento con prontitud si recibe directamente dicha solicitud y no responderá salvo que el Responsable lo indique por escrito.
10. Retención y eliminación de datos
El Encargado del Tratamiento conservará los datos personales únicamente durante el tiempo necesario para la prestación de los Servicios contratados o según lo exija la legislación aplicable. Tras la finalización de la relación contractual, todos los datos personales se eliminarán de forma segura o se devolverán al Responsable del Tratamiento, salvo disposición legal en contrario.
11. Transferencias internacionales de datos
El Procesador no transferirá datos personales fuera del Espacio Económico Europeo (“EEE”) sin el consentimiento previo por escrito del Controlador y sin implementar las garantías adecuadas según lo exige el RGPD.
12. Auditoría y Cumplimiento
Tras un preaviso razonable, el Responsable podrá realizar o solicitar una auditoría independiente de las prácticas de protección de datos del Encargado. El Encargado facilitará toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud del artículo 28 del RGPD.
13. Responsabilidad
Cada parte será responsable de los daños y perjuicios derivados de su propio incumplimiento de este Anexo o de la legislación de protección de datos aplicable. La responsabilidad del Encargado del Tratamiento se limitará a los daños directos que se demuestre que resultan de su incumplimiento de las instrucciones documentadas o de las obligaciones derivadas del RGPD.
14. Plazo y terminación
Este Anexo permanecerá vigente mientras el Encargado del Tratamiento procese datos personales en nombre del Responsable. Al finalizar el uso de los Servicios por parte del Responsable, el Encargado del Tratamiento deberá eliminar o devolver todos los datos personales según lo especificado en la Sección 10.
15. Ley aplicable y jurisdicción
Este Anexo se rige e interpreta de conformidad con las leyes de Rumanía. Cualquier disputa derivada o relacionada con este Anexo se someterá a la jurisdicción exclusiva de los tribunales de Cluj-Napoca, Rumanía.
Anexo I – Categorías de datos personales y titulares de los datos
Categorías de datos personales tratados:
- Datos de identificación del paciente (por ejemplo, nombre, fecha de nacimiento, datos de contacto)
- Escaneos intraorales y modelos dentales digitales 3D
- Fotografías faciales e intraorales
- Planes de tratamiento de ortodoncia, incluidos archivos de diagnóstico y planificación.
- Datos de cuentas profesionales de ortodoncistas y personal asociado
Categorías de interesados:
- Pacientes sometidos a tratamiento de ortodoncia
- Profesionales odontológicos (Controladores y su personal autorizado)
- Personal de soporte técnico (cuando corresponda).