Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 29 de Mayo de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte integral de los Términos y Condiciones de A.D.R.I. y se celebra entre A.D.R.I. (en adelante, el "Encargado del Tratamiento") y la Institución de Salud o Profesional titular de la cuenta (en adelante, el "Responsable del Tratamiento").
Este documento tiene por objeto dar cumplimiento a la Ley N° 25.326 de Protección de los Datos Personales de la República Argentina y a la normativa complementaria de la Agencia de Acceso a la Información Pública (AAIP).
1. Objeto y Naturaleza del Tratamiento
El Responsable del Tratamiento contrata al Encargado para proveer el servicio de software SaaS A.D.R.I. Para ello, el Encargado tratará datos personales (incluyendo datos sensibles de salud, turnos y motivos de consulta) exclusivamente con el propósito de brindar, mantener y mejorar el servicio contratado, actuando siempre bajo las instrucciones documentadas del Responsable.
2. Obligaciones del Encargado del Tratamiento (A.D.R.I.)
- Instrucciones documentadas: Tratar los datos personales únicamente siguiendo las instrucciones del Responsable, salvo que la ley exija lo contrario.
- Confidencialidad: Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad.
- Seguridad: Implementar las medidas técnicas y organizativas de seguridad establecidas en la Resolución 47/2018 de la AAIP para garantizar un nivel de seguridad adecuado al riesgo.
- Asistencia al Responsable: Asistir al Responsable, en la medida de lo posible y mediante medidas técnicas, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de los pacientes, dentro de los plazos legales correspondientes.
3. Subencargados del Tratamiento
El Responsable autoriza de forma general al Encargado a contratar a otros subencargados (ej. proveedores de infraestructura en la nube como Supabase, y proveedores de APIs de Inteligencia Artificial) para el funcionamiento de la plataforma. El Encargado impondrá a dichos subencargados las mismas obligaciones de protección de datos estipuladas en este DPA, garantizando que no utilizarán los datos sensibles de salud para el entrenamiento de modelos de IA públicos.
4. Notificación de Incidentes de Seguridad
En caso de que el Encargado sufra una violación de la seguridad de los datos personales (brecha de datos), notificará al Responsable sin dilación indebida, y en un plazo no mayor a 72 horas desde que tenga constancia de ella. La notificación incluirá información razonable para que el Responsable pueda cumplir con sus obligaciones legales de reporte ante la AAIP o los pacientes afectados.
5. Transferencias Internacionales de Datos
El Responsable reconoce y acepta que el uso de infraestructuras en la nube y servicios de Inteligencia Artificial puede implicar la transferencia internacional de datos. El Encargado se compromete a realizar dichas transferencias únicamente hacia jurisdicciones que cuenten con legislación adecuada de protección de datos (según la AAIP) o, en su defecto, suscribiendo cláusulas contractuales tipo u otros mecanismos legales válidos para garantizar la protección de la información.
6. Destino de los Datos al Finalizar el Servicio
Una vez finalizada la prestación de los servicios, y a elección del Responsable, el Encargado suprimirá o devolverá todos los datos personales, y suprimirá las copias existentes, a menos que la legislación aplicable exija o permita la conservación de dichos datos. Durante este proceso, se mantendrá la total confidencialidad de la información.
7. Auditorías
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y permitirá y contribuirá a la realización de auditorías o inspecciones por parte del Responsable o de un auditor autorizado por este, siempre que dichas auditorías sean notificadas con una antelación razonable (mínimo 30 días) y no interrumpan la operatividad normal del servicio.