Políticas de Seguridad de la Información y Privacidad de Datos

Epimed Solutions (“Epimed”) es especializada en soluciones para la gestión de informaciones clínicas y epidemiológicas, que mejoran la eficacia de la atención hospitalaria y la seguridad del paciente.

Epimed desarrolló softwares capaces de gestionar las informaciones clínicas en tiempo real, evaluar el performance y la eficacia de la UCI de los hospitales, evaluar el riesgo de larga estancia de cada paciente en la UCI, gestionar datos clínicos e indicadores de calidad, acompañar los incidentes y eventos adversos en los hospitales, entre otros servicios (“Sistema Epimed”).

El Sistema Epimed opera recibiendo datos proporcionados por hospitales, clínicas, organizaciones sociales de salud y otras instituciones de salud (“Instituciones de Salud”), algunos de los cuales son Datos Personales y/o Datos Sensibles (“Datos”), dependiendo del software y servicios contratados por las Instituciones de Salud.

De conformidad con las Legislaciones de Protección de Datos aplicable, se elaboró la Política de Privacidad y Protección de Datos (“Política”), con el fin de reafirmar el compromiso de Epimed con las mejores prácticas de protección de datos.

A través de la presente Política de Privacidad y Protección de Datos (“Política”), informamos a los usuarios del Sistema Epimed nuestras directrices sobre la recolección, uso y cualquier tratamiento de Datos Personales realizados directa o indirectamente, en caso de utilizar nuestros sistemas, registro, acceso o visita a la Plataforma.

A través de esta Política de Privacidad, buscamos ser transparentes para (i) presentar las razones por las que realizamos el tratamiento de los Datos personales y (ii)explicar cómo tratamos los Datos Personales.

Esta Política se aplica a todos los colaboradores de Epimed Solutions y a los prestadores de servicio y terceros contratados.

La gestión de datos de acuerdo con esta Política es responsabilidad de todos los colaboradores y prestadores de servicios, dentro de los límites de las atribuciones de cada área involucrada.

Para una mejor comprensión de esta Política, es necesario comprender las siguientes definiciones:

• Autoridad Nacional de Protección de Datos (ANPD): órgano de la administración pública federal, responsable de velar por la protección de los Datos Personales y la aplicación de las Legislaciones de Protección de Datos;
• Controlador: persona física o jurídica, de derecho público o privado, responsable de las decisiones concerniente al tratamiento de Datos Personales;
• Operador: persona natural o jurídica, de derecho público o privado, que realiza el tratamiento de Datos Personales en nombre del Controlador;
• Dato Personal: cualquier información relacionada a persona natural identificada o identificable. Para fines de esta Política la referencia al Dato Personal incluirá Datos Personales Sensibles;
• Dato Personal Sensible: dato personal sobre origen racial o étnico, creencias religiosas, opinión pública, afiliación sindical u organización de carácter religioso, filosófico o político, dato relacionado con la salud o la vida sexual, dato genético o biométrico, cuando esté vinculado a una persona natural.
• Encargado: persona asignada por el Controlador y Operador que debe actuar como canal de comunicación entre el Controlador, los Titulares de los Datos y la Autoridad Nacional de Protección de Datos;
• Titular de los Datos: persona natural a la que se refieren los Datos Personales que son objeto de tratamiento;
• Tratamiento: cada operación realizada con Datos Personales, como las concernientes a la recopilación, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, tratamiento, archivo, almacenamiento, supresión, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción. y
• Usuario: persona que accede al Sistema o interactúa con el sitio web de Epimed.

A Epimed, como Operadora de Datos, realizará el Tratamiento de los Datos proporcionados por las Instituciones de Salud de acuerdo con sus instrucciones.

Asumimos la posición de Controladora de Datos cuando somos responsables de decisiones sobre el tratamiento de Datos Personales, como por ejemplo, en la relación existente entre Epimed y sus empleados en virtud del contrato de trabajo suscrito.

Hemos designado a una Encargada de Datos (Data Protection Officer – DPO) que es la persona responsable de gestionar el programa de privacidad y de ser el puente entre las Instituciones de Salud y Epimed o entre los Titulares de los Datos y Epimed con respecto al Tratamiento de Datos.

El Chief Protection Officer (CPO) es la persona responsable de realizar las inversiones necesarias en el programa de privacidad, y también realizar cada comunicación dirigida a la Autoridad Nacional de Protección de Datos.

A continuación, se describen los Productos que ofrece Epimed, así como la finalidad y tipo de tratamiento que realiza cada uno de ellos.

7.1. Recopilación

Epimed solo recopila Datos de Pacientes que son estrictamente necesarios dentro del alcance de la prestación de los servicios ofrecidos por el Sistema Epimed.

Las Instituciones de Salud son las responsables de enviar los Datos al Sistema Epimed, para que la inclusión de las informaciones de los Pacientes en las plataformas del Sistema Epimed pueda ser realizada, de forma directa y manual, por los empleados de las Instituciones de Salud, personas indicadas y autorizadas por éstas para acceder al Sistema Epimed (“Usuarios”).

Los usuarios también pueden optar por utilizar el procedimiento de integración, en el que los datos se recopilan mediante el llenado de un formulario y posteriormente se incluyen en el Sistema Epimed.

Cada Usuario, a través de una herramienta del Sistema Epimed, deberá adherirse obligatoriamente al Acta de Privacidad de los Usuarios del Sistema.

7.2. Almacenamiento

Después de ser recopilados y recibidos por Epimed, los Datos se almacenan en un entorno seguro en la nube administrado por el equipo interno de Tecnología de la Información de Epimed, protegido siguiendo las buenas prácticas de seguridad contra ataques, filtraciones y eliminaciones de Datos. La base de datos se protege mediante la adopción de los controles controles y procedimientos adoptados en el Capítulo 9 de esta Política y en las demás Políticas allí mencionadas.

7.3. Utilización

Los Datos son utilizados por Epimed de acuerdo al tipo de servicio contratado por la Institución de Salud y para atender exclusivamente las finalidades descritas en el Capítulo 6 anterior.

El procesamiento de datos personales deberá ocurrir de manera transparente, lícita, justa, por lo que todos los registros deberán ser mantenidos por Epimed en los sistemas involucrados.

7.4. Acceso

Cada Institución de Salud tiene acceso directo únicamente a sus propios Datos, y sólo los Usuarios debidamente registrados por la Institución de Salud están autorizados a acceder a los datos.

Además del tratamiento de Datos de pacientes de las Instituciones de Salud, Epimed también necesita recopilar, almacenar, utilizar y eliminar Datos Personales de los Usuarios del Sistema Epimed para garantizar que solo las personas autorizadas tengan acceso a sus plataformas.

Al iniciar su relación contractual con Epimed, la Institución de Salud debe compartir las informaciones de un representante designado como responsable de la aprobación y registro de otros empleados de la Institución de Salud que podrán tener acceso al Sistema Epimed en esa Institución (“Usuario Encargado”).

Una vez registrado el Usuario Encargado por el Sistema Epimed, la Institución de Salud se convierte en la única responsable de permitir nuevos Usuarios en el Sistema Epimed.

Corresponde al Usuario Encargado delegar el acceso a los servicios de Epimed, así como el alcance del permiso que tendrán los nuevos Usuarios en el Sistema Epimed.

Para el registro de nuevos Usuarios, el Usuario Encargado debe poner a disposición en el Sistema Epimed los datos del nombre y correo electrónico de este Usuario. Cada Usuario deberá aceptar todos los términos y condiciones del Acta de Privacidad, consintiendo la utilización de sus Datos por Epimed para la utilización del Sistema Epimed.

Las Instituciones de Salud deben informar a Epimed la desvinculación de cualquier Usuario del Sistema Epimed para que se deshabiliten las credenciales de este Usuario.

Todos los mecanismos y cuidados para la protección de los Datos de los pacientes recopilados también se aplican a los Datos Personales y/o Sensibles de los Usuarios del Sistema Epimed en poder de Epimed, de conformidad con las legislaciones aplicables.

7.4.1. Profesionales de Epimed con Acceso a los Datos

Epimed otorga acceso restringido y limitado a algunos de sus colaboradores para garantizar el soporte y buen funcionamiento, mantenimiento, corrección y protección del Sistema Epimed.

Además, todos los colaboradores de Epimed se adhieren completamente al Acuerdo de Confidencialidad de la empresa.

7.4.2. Producción de Informes

 La Institución de Salud podrá generar informes relacionados con el tipo de servicio contratado, según se indica en el Capítulo 6 anterior.

Los informes generados por Epimed, por regla general, no reproducen Datos Personales y/o Sensibles, constituyendo únicamente estadísticas en relación a los eventos ocurridos dentro de las Instituciones de Salud, independientemente de la identificación personal de los pacientes.

Todos los informes generados por el Sistema Epimed son capaces de identificar al Usuario que los produjo, asegurando un mayor control de la circulación de Datos.

7.4.3. Relación con Terceros

Epimed utiliza servicios de terceros solo para almacenar los servidores físicos donde operan los entornos del sistema de Epimed.

Epimed no recurre a otras entidades para la prestación del servicio contratado por las Instituciones de Salud.

El envío de información a terceros sólo puede ocurrir en los siguientes casos: (i) a la luz de la ley aplicable, (ii) en cumplimiento de obligaciones legales/órdenes judiciales, o, (iii) para atender solicitudes de autoridades públicas o gubernamentales.

7.5. Eliminación

Los Datos almacenados en la base de datos de Epimed serán eliminados en caso de orden específica de las Instituciones de Salud, o en caso de terminación de la relación contractual de Epimed con la Institución de Salud, la cual recibirá una copia correspondiente a su base de datos, dicha eliminación será para cumplir las leyes aplicables.

Epimed realizará la eliminación en un plazo de hasta 60 (sesenta) días después de la solicitud de eliminación de los Datos por la Institución de Salud, o de la terminación del contrato, salvo solicitud expresa de la Institución de Salud o Controlador para el mantenimiento de los Datos en la base de datos del Sistema Epimed.

La eliminación se realiza de forma segura, en los términos exigidos por la legislación aplicable, mediante un procedimiento de exclusión de forma física en la base de datos de Epimed. Una vez realizada la eliminación, no será posible restaurar los datos después de 30 (treinta) días.

Epimed realiza todos los esfuerzos para proteger la confidencialidad de los Datos, adoptando las mejores prácticas de seguridad de la información para el tráfico y almacenamiento de datos e informaciones, incluyendo, pero no limitado a:

• La adopción de buenas prácticas de seguridad, descritas en la Política de Seguridad de la Información de Epimed y en las normas ISO 27001, ISO 27701 e ISO 27799, esta última enfocada en controles específicos para la protección de la información personal de salud; – protección de datos de salud;
• Almacenamiento seguro de datos, mediante la adopción de cifrado en toda su base de datos;
• Gestión de riesgos, incluido el mapeo del ciclo de datos relacionado con los Sistemas Epimed, y otras medidas previstas en la Política de Gestión de Riesgos de Seguridad de la Información de Epimed;
• Adherencia a las normas concernientes a la transferencia internacional de datos, con el fin de seguir las buenas prácticas de mercado;
• El monitoreo y alerta de seguridad de cybersecurity;
• La segregación de perfiles de acceso, de forma que el acceso a las informaciones y Datos estará restringido a determinados perfiles de acceso definidos por la Gerencia de Infraestructura, descrita en la Política de Seguridad de la Información de Epimed;
• Auditoría externa periódica de seguridad de la información basada en las normas ISO 27001, ISO 27701 e ISO 27799 y

Además de las medidas de protección de datos mencionadas anteriormente, también forman parte del Programa de Privacidad de Epimed las directrices descritas en la Política de Seguridad de la Información, Política de Desarrollo Seguro de Software y Política de Gestión de Riesgos de Seguridad de la Información.

Sin perjuicio de las medidas preventivas de protección de Datos, Epimed cuenta con un Plan de Respuesta a Incidentes, cuyo objetivo es establecer las directrices para gestionar las respuestas a los posibles incidentes de violación y filtración de datos personales que puedan producirse, con el fin de cumplir los requisitos de las legislaciones en materia de protección de datos de los países con los que Epimed mantiene relaciones comerciales, asegurando la mitigación de riesgos y posibles daños ocasionados a los Titulares de Datos Personales.

En caso de duda sobre esta política, sus derechos o cómo ejercerlos, puede ponerse en contacto con la Encargada de Datos a través del correo electrónico dataprotection@epimedosolutions.com o a través del Canal Confidencial de Epimed Solutions, disponible en el sitio web. Epimed hará todo lo posible para satisfacer las solicitudes en el menor tiempo posible, respetando la legislación aplicable.

Este documento debe ser revisado a cada 1 (un) año o cuando sea necesario para cumplir con la legislación vigente en Protección de Datos.