Acuerdo de tratamiento de datos
Última actualización: 15 de junio de 2026
Este Acuerdo de tratamiento de datos ("DPA") forma parte del acuerdo aplicable entre CoVetAI Inc. ("CoVet") y el cliente, usuario, clínica, consulta, organización u otra entidad que haya aceptado o celebrado el Acuerdo aplicable ("Cliente"). CoVet y el Cliente son cada uno una "Parte" y conjuntamente las "Partes".
Este DPA se aplica cuando CoVet Trata Datos personales en nombre del Cliente en relación con los Servicios. Para las cuentas de autoservicio, este DPA se incorpora por referencia al Acuerdo aplicable y entra en vigor cuando el Cliente acepta el Acuerdo aplicable, accede a los Servicios o continúa usando los Servicios después de que este DPA se publique o actualice. No se requiere una firma separada salvo que CoVet y el Cliente acuerden lo contrario por escrito.
Si el Cliente ha celebrado con CoVet un acuerdo de tratamiento de datos o un acuerdo de business associate firmado por separado, dicho acuerdo firmado por separado prevalecerá en la medida en que entre expresamente en conflicto con este DPA. Este DPA no reduce las obligaciones de ninguna de las Partes en virtud de las Leyes de protección de datos aplicables.
Este DPA incluye el Anexo 1 (Cláusulas contractuales tipo), los Anexos A-C (detalles del tratamiento, medidas técnicas y organizativas y subencargados) y el Anexo 2 (Adenda HIPAA). El Anexo 2 se aplica únicamente cuando el Cliente es una Covered Entity o un Business Associate en virtud de HIPAA y CoVet crea, recibe, mantiene o transmite PHI en nombre del Cliente.
1. Definiciones
"Acuerdo aplicable" significa los términos de servicio, términos de suscripción, formulario de pedido, declaración de trabajo, acuerdo marco de servicios u otro acuerdo que rija el acceso del Cliente a los Servicios o su uso.
"Usuario autorizado" significa cualquier persona autorizada por el Cliente para acceder a los Servicios o utilizarlos bajo la cuenta del Cliente.
"Datos del Cliente" significa datos, contenido, audio, transcripciones, archivos, prompts, mensajes, registros, resultados u otra información enviada a los Servicios, generada a través de ellos o Tratada de otro modo por los Servicios en nombre del Cliente, incluidos Datos personales cuando corresponda.
"Responsable del tratamiento", "Encargado del tratamiento", "Interesado", "Datos personales", "Violación de seguridad de Datos personales" y "Tratamiento" tienen los significados atribuidos a los términos equivalentes en las Leyes de protección de datos aplicables.
"Leyes de protección de datos" significa todas las leyes de privacidad, protección de datos, seguridad de datos y notificación de violaciones aplicables al Tratamiento de una Parte en virtud del Acuerdo aplicable, incluidos, en la medida aplicable, el RGPD, el UK GDPR, PIPEDA y las leyes estatales de privacidad de EE. UU. comparables.
"RGPD" significa el Reglamento (UE) 2016/679 y cualquier ley que lo implemente, complemente o sustituya. "UK GDPR" significa el RGPD incorporado al derecho del Reino Unido.
"PHI" significa Protected Health Information según se define en HIPAA. Cuando se aplique el Anexo 2, las referencias a Datos personales incluyen PHI.
"Servicios" significa el asistente veterinario con IA de CoVet, documentación clínica, transcripción, generación de casos, flujos de trabajo, comunicación con clientes, servicios administrativos, de soporte, integración y servicios relacionados descritos en el Acuerdo aplicable o la documentación relacionada.
"Subencargado" significa cualquier tercero contratado por CoVet u otro Subencargado para Tratar Datos personales en nombre del Cliente en relación con los Servicios.
2. Alcance y roles
2.1 Roles. Entre las Partes, el Cliente es el Responsable del tratamiento de los Datos personales y CoVet es el Encargado del tratamiento. Cuando el Cliente actúe como Encargado del tratamiento en nombre de un Responsable del tratamiento tercero, el Cliente designa a CoVet como Subencargado del Cliente. Cuando se apliquen leyes estatales de privacidad de EE. UU., CoVet actuará como proveedor de servicios o encargado, según corresponda, con respecto a los Datos personales Tratados en nombre del Cliente.
2.2 Control del Cliente. El Cliente determina los fines y medios del Tratamiento de Datos personales, incluido el contenido enviado a los Servicios, la base legal para el Tratamiento y las instrucciones dadas a CoVet. El Cliente conserva todos los derechos sobre los Datos del Cliente, sujeto a las licencias y permisos necesarios para que CoVet preste los Servicios.
2.3 Instrucciones. El Cliente instruye a CoVet para Tratar Datos personales según sea necesario para prestar, proteger, mantener, dar soporte, solucionar problemas, mejorar y administrar los Servicios; cumplir el Acuerdo aplicable; cumplir las opciones de configuración del Cliente y las acciones de los Usuarios autorizados; y cumplir la ley aplicable. CoVet no Tratará Datos personales para ningún fin distinto de los descritos en este DPA, el Acuerdo aplicable o las instrucciones documentadas del Cliente, salvo que lo exija la ley.
2.4 Proveedores de servicios de IA y entrenamiento de modelos. CoVet no utilizará datos clínicos del Cliente, grabaciones, transcripciones, notas generadas u otros Datos personales del Cliente para entrenar o ajustar modelos de IA, y no permitirá que sus proveedores de servicios de IA lo hagan, salvo cuando el Cliente haya autorizado expresamente un Tratamiento diferente en un acuerdo escrito separado. CoVet puede utilizar información agregada o desidentificada para operar, proteger y mejorar los Servicios cuando dicha información no identifique al Cliente, a los Usuarios autorizados o a los Interesados y no sea Datos personales conforme a las Leyes de protección de datos aplicables.
3. Obligaciones del Cliente
El Cliente es responsable de cumplir las Leyes de protección de datos que se aplican a la recopilación, uso, divulgación y transferencia de Datos personales a CoVet por parte del Cliente, incluida la entrega de avisos, la obtención de consentimientos y el mantenimiento de una base legal para el Tratamiento cuando sea necesario.
El Cliente es responsable de la exactitud, calidad y legalidad de los Datos del Cliente y de garantizar que los Usuarios autorizados envíen Datos del Cliente únicamente de conformidad con el Acuerdo aplicable y este DPA.
El Cliente no enviará categorías especiales de Datos personales, PHI u otra información regulada a los Servicios salvo que dicho envío esté permitido por el Acuerdo aplicable, sea necesario para el uso de los Servicios por parte del Cliente y el Cliente haya cumplido todos los requisitos legales para hacerlo.
El Cliente notificará de inmediato a CoVet cualquier solicitud de un Interesado, restricción legal o instrucción que afecte al Tratamiento de Datos personales por parte de CoVet.
4. Obligaciones de CoVet
CoVet Tratará Datos personales únicamente de conformidad con este DPA, el Acuerdo aplicable, las instrucciones documentadas del Cliente y la ley aplicable.
CoVet garantizará que el personal autorizado para Tratar Datos personales esté sujeto a obligaciones de confidencialidad y reciba formación adecuada en privacidad y seguridad.
CoVet implementará y mantendrá medidas técnicas y organizativas adecuadas diseñadas para proteger los Datos personales contra destrucción, pérdida, alteración, divulgación, acceso o uso accidentales o ilícitos, según se describe con más detalle en el Anexo B.
Teniendo en cuenta la naturaleza del Tratamiento y la información disponible para CoVet, CoVet asistirá razonablemente al Cliente con solicitudes de Interesados, evaluaciones de impacto relativas a la protección de datos, consultas con autoridades de control y documentación de cumplimiento requerida por las Leyes de protección de datos.
CoVet notificará al Cliente si CoVet considera que una instrucción infringe las Leyes de protección de datos aplicables, salvo que la ley aplicable prohíba dicha notificación.
5. Seguridad de los datos
CoVet mantendrá un programa escrito de seguridad de la información adecuado a la naturaleza de los Servicios y a los riesgos que presenta el Tratamiento. El programa de CoVet incluye salvaguardas administrativas, técnicas, físicas, organizativas y operativas diseñadas para proteger los Datos personales, incluidos controles de acceso, cifrado en tránsito y en reposo, registro y supervisión, prácticas de desarrollo seguro, gestión de vulnerabilidades, procedimientos de respuesta a incidentes, gestión de riesgos de proveedores y formación de empleados.
Hay información adicional sobre la postura de seguridad de CoVet disponible a través de la página de Seguridad y el Trust Center de CoVet:
6. Subencargados
6.1 Autorización general. El Cliente otorga a CoVet autorización general para contratar Subencargados que Traten Datos personales en relación con los Servicios. CoVet celebrará acuerdos escritos con los Subencargados que impongan obligaciones de protección de datos no menos protectoras, en todos los aspectos materiales, que las establecidas en este DPA.
6.2 Lista actual y actualizaciones. Los Subencargados actuales de CoVet se enumeran en el Anexo C y también pueden estar disponibles a través del Trust Center de CoVet u otra página publicada de subencargados. CoVet puede añadir, sustituir o actualizar Subencargados notificándolo a través del Trust Center, los Servicios, correo electrónico u otro método comercialmente razonable.
6.3 Derecho de oposición. El Cliente puede oponerse a un nuevo Subencargado por motivos razonables de protección de datos dentro de los catorce (14) días siguientes a la notificación. Si las Partes no pueden resolver la oposición de manera comercialmente razonable, CoVet puede poner a disposición una alternativa, suspender la función afectada o permitir que el Cliente termine los Servicios afectados según se describe en el Acuerdo aplicable.
7. Solicitudes de Interesados
Si CoVet recibe una solicitud de un Interesado relacionada con Datos personales del Cliente, CoVet, cuando la ley lo permita, dirigirá al Interesado al Cliente o notificará al Cliente. CoVet no responderá de forma independiente a la solicitud salvo según las instrucciones del Cliente, cuando lo exija la ley o cuando sea necesario para confirmar que la solicitud se relaciona con el Cliente.
8. Violación de seguridad de Datos personales
CoVet notificará al Cliente sin demora indebida después de tener conocimiento de una Violación de seguridad de Datos personales que afecte a Datos personales del Cliente. La notificación incluirá la información razonablemente disponible para CoVet, que puede incluir la naturaleza de la violación, las categorías afectadas de Datos personales e Interesados, las consecuencias probables y las medidas adoptadas o propuestas para abordar y mitigar la violación.
CoVet cooperará razonablemente con la investigación, mitigación y notificaciones legalmente requeridas del Cliente. El Cliente es responsable de determinar si debe notificar a Interesados, autoridades de control, reguladores u otros terceros, excepto cuando las Leyes de protección de datos exijan a CoVet proporcionar una notificación directa.
9. Auditorías y documentación
CoVet pondrá a disposición información razonablemente necesaria para demostrar el cumplimiento de este DPA, que puede incluir documentación de seguridad, políticas, certificaciones, informes de auditoría independientes o respuestas escritas. CoVet puede cumplir esta obligación poniendo materiales a disposición a través de su Trust Center, sujetos a controles adecuados de confidencialidad y acceso.
Si el Cliente requiere razonablemente actividad de auditoría adicional, el Cliente puede solicitar una auditoría no más de una vez por año calendario, salvo que lo requiera una autoridad de control o tras una Violación de seguridad de Datos personales. Cualquier auditoría debe realizarse durante el horario comercial normal, a expensas del Cliente, con aviso previo razonable y de manera que no interfiera irrazonablemente con las operaciones de CoVet ni comprometa la seguridad o confidencialidad de los datos de otros clientes.
10. Devolución y eliminación
Tras la terminación o vencimiento del Acuerdo aplicable, CoVet, de conformidad con el Acuerdo aplicable y la funcionalidad de los Servicios, eliminará o pondrá a disposición para su recuperación los Datos personales del Cliente en posesión o bajo control de CoVet. CoVet puede conservar Datos personales en la medida requerida por la ley, necesaria para fines legítimos de seguridad, copias de seguridad, disputas, auditoría o cumplimiento, o de otro modo permitida por el Acuerdo aplicable, siempre que CoVet continúe protegiendo los Datos personales conservados conforme a este DPA y limite el Tratamiento posterior a dichos fines de conservación.
11. Transferencias internacionales
El Cliente reconoce que CoVet y sus Subencargados pueden Tratar Datos personales en Canadá, Estados Unidos, el Espacio Económico Europeo, el Reino Unido y otros lugares donde CoVet o sus Subencargados mantengan operaciones, sujeto a las salvaguardas requeridas por las Leyes de protección de datos.
Para transferencias de Datos personales desde el EEE, el Reino Unido o Suiza a un país que no proporcione un nivel adecuado de protección conforme a las Leyes de protección de datos aplicables, se aplicarán las Cláusulas contractuales tipo y los términos de transferencia relacionados del Anexo 1 en la medida requerida.
12. Responsabilidad y orden de precedencia
La responsabilidad de cada Parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo aplicable, salvo en la medida en que dichas limitaciones o exclusiones estén prohibidas por las Leyes de protección de datos o las Cláusulas contractuales tipo. Si existe conflicto entre este DPA y el Acuerdo aplicable, este DPA prevalece únicamente con respecto al Tratamiento de Datos personales. Si existe conflicto entre este DPA y las Cláusulas contractuales tipo, las Cláusulas contractuales tipo prevalecen en la medida del conflicto.
13. Actualizaciones de este DPA
CoVet puede actualizar este DPA periódicamente publicando una versión actualizada o proporcionando aviso de otro modo. Las actualizaciones no reducirán materialmente el nivel de protección de los Datos personales durante la vigencia del Acuerdo aplicable. El uso continuado de los Servicios por parte del Cliente después de que entre en vigor un DPA actualizado constituye aceptación del DPA actualizado, salvo que el Cliente tenga un acuerdo separado firmado que disponga otra cosa.
Anexo A: Detalles del Tratamiento
A.1 Objeto
El objeto del Tratamiento es la prestación de los Servicios por CoVet al Cliente en virtud del Acuerdo aplicable, incluido el Tratamiento de Datos del Cliente enviados a los Servicios, generados a través de ellos o Tratados de otro modo por los Servicios.
A.2 Duración
El Tratamiento continuará durante la vigencia del Acuerdo aplicable y posteriormente según sea necesario para fines de eliminación, devolución, legales, de seguridad, copias de seguridad, auditoría o cumplimiento.
A.3 Naturaleza y finalidad
Creación de cuentas, autenticación, facturación, administración de suscripciones, soporte y comunicaciones.
Grabación, carga, transcripción, estructuración, resumen, redacción, generación, almacenamiento, recuperación y visualización de contenido clínico, de flujo de trabajo y de comunicación solicitado por el Cliente o los Usuarios autorizados.
Operación, mantenimiento, resolución de problemas, supervisión de seguridad, prevención de abusos, fiabilidad, analítica y mejora de los Servicios.
Tratamiento a través de proveedores de servicios de IA únicamente para proporcionar las funciones solicitadas por el Cliente y los Usuarios autorizados, sujeto a las restricciones de este DPA sobre entrenamiento y ajuste de modelos.
Integraciones, exportaciones, importaciones y transferencias de datos configuradas o solicitadas por el Cliente o los Usuarios autorizados.
Cumplimiento de obligaciones legales, ejecución del Acuerdo aplicable y protección de los Servicios, CoVet, el Cliente, los Usuarios autorizados y los Interesados.
A.4 Categorías de Datos personales
Información de cuenta, perfil, rol, autenticación, contacto, facturación, suscripción y organización.
Información profesional y de práctica relacionada con profesionales veterinarios, personal de la clínica, administradores, contratistas y otros Usuarios autorizados.
Contenido de flujo de trabajo clínico enviado a los Servicios o generado a través de ellos, incluidas grabaciones de audio, transcripciones, prompts, mensajes, archivos, notas generadas, información de casos, comunicaciones con clientes y metadatos relacionados.
Información de propietarios de mascotas, clientes, pacientes, citas y casos en la medida en que dicha información identifique o pueda vincularse razonablemente a una persona.
Información técnica, de dispositivo, uso, registro, seguridad, diagnóstico y soporte, incluida dirección IP, identificadores de dispositivo, información del navegador o aplicación, marcas de tiempo y uso de funciones.
Cualquier otro Dato personal enviado por el Cliente o los Usuarios autorizados a través de los Servicios, sujeto al Acuerdo aplicable y este DPA.
A.5 Datos sensibles
El Cliente puede enviar Datos personales sensibles o regulados únicamente cuando lo permita el Acuerdo aplicable y sea necesario para el uso de los Servicios por parte del Cliente. Cuando el Cliente envíe PHI y se aplique el Anexo 2, CoVet Tratará PHI de conformidad con el Anexo 2. CoVet no requiere que el Cliente envíe categorías especiales de Datos personales en virtud del RGPD salvo que dicho envío sea necesario para el uso elegido de los Servicios por parte del Cliente y el Cliente haya satisfecho los requisitos legales aplicables.
A.6 Categorías de Interesados
Usuarios autorizados, administradores, empleados, contratistas y representantes del Cliente.
Clientes veterinarios, propietarios de mascotas, clientes potenciales y personas de contacto.
Personas cuya información aparezca en notas clínicas, comunicaciones, archivos, grabaciones, transcripciones, solicitudes de soporte, integraciones u otros Datos del Cliente.
Contactos de facturación, compras, legales, soporte y negocios.
A.7 Frecuencia de la transferencia
Continua durante el uso de los Servicios por parte del Cliente.
A.8 Partes para las Cláusulas contractuales tipo
Rol | Nombre y detalles | Actividades | Rol SCC |
|---|---|---|---|
Exportador de datos | Cliente, según se identifica en el Acuerdo aplicable o en los registros de cuenta. | Envío, acceso y uso de Datos personales en relación con los Servicios. | Responsable o Encargado del tratamiento, según corresponda. |
Importador de datos | CoVetAI Inc. (CoVet). Contacto: info@co.vet o support@co.vet. | Tratamiento de Datos personales para prestar, proteger, mantener, dar soporte y mejorar los Servicios. | Encargado del tratamiento o Subencargado, según corresponda. |
Anexo B: Medidas técnicas y organizativas
CoVet mantiene medidas técnicas y organizativas diseñadas para proporcionar un nivel de seguridad adecuado al riesgo que presenta el Tratamiento. Dichas medidas incluyen los controles resumidos a continuación y pueden evolucionar con el tiempo a medida que madura el programa de seguridad de CoVet.
Área de control | Resumen |
|---|---|
Gobernanza y políticas | Políticas de seguridad de la información, gestión de datos, respuesta a incidentes, riesgo de proveedores, continuidad del negocio, desarrollo seguro y control de acceso. |
Controles de acceso | Acceso basado en roles, privilegio mínimo, credenciales únicas, revisiones de acceso, controles de incorporación y baja, y salvaguardas de autenticación. |
Cifrado e infraestructura | Cifrado en tránsito y en reposo, infraestructura de nube segura, segmentación de red cuando corresponda, endurecimiento y separación lógica de los datos de clientes. |
Supervisión y respuesta a incidentes | Registro, supervisión de disponibilidad, revisión de eventos de seguridad, procedimientos de respuesta a incidentes, escalamiento, remediación y soporte de respuesta a violaciones. |
Vulnerabilidad y desarrollo seguro | Gestión de vulnerabilidades, pruebas de penetración o evaluaciones de vulnerabilidad, gestión de parches, prácticas de desarrollo de software seguro y controles de revisión de código/cambios. |
Personal y formación | Obligaciones de confidencialidad, formación de concienciación en seguridad, responsabilidades específicas por rol y procedimientos de seguridad del personal. |
Gestión de proveedores | Revisión de riesgo de proveedores, obligaciones contractuales de protección de datos y supervisión de Subencargados que puedan Tratar Datos personales del Cliente. |
Continuidad y recuperación | Prácticas de copias de seguridad, continuidad, recuperación ante desastres y disponibilidad diseñadas para respaldar la prestación fiable de los Servicios. |
Anexo C: Subencargados
Los siguientes Subencargados se enumeran a la fecha de Última actualización indicada anteriormente. CoVet puede actualizar esta lista de conformidad con la Sección 6.
Subencargado | Ubicación | Función |
|---|---|---|
OpenAI | Estados Unidos | Tratamiento de IA y servicios de modelos relacionados utilizados para proporcionar funciones solicitadas del Servicio. |
Claude | Estados Unidos | Tratamiento de IA y servicios de modelos relacionados utilizados para proporcionar funciones solicitadas del Servicio. |
GCP | Canadá / Estados Unidos | Alojamiento en la nube, almacenamiento, infraestructura, redes, seguridad y servicios de plataforma relacionados. |
GitHub | Canadá / Estados Unidos | Desarrollo de software, alojamiento de código, seguridad, despliegue y herramientas de soporte operativo. |
El Trust Center actual está disponible en:
Anexo 1: Cláusulas contractuales tipo
1. Incorporación
Cuando sea requerido para una transferencia internacional de Datos personales, las Partes incorporan por referencia las cláusulas contractuales tipo adoptadas por la Comisión Europea en la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 ("SCC"). Las SCC se aplican únicamente a transferencias sujetas al RGPD u otras Leyes de protección de datos que requieran dichas salvaguardas.
2. Módulo y selecciones
El Módulo Dos (Responsable a Encargado) se aplica cuando el Cliente es Responsable del tratamiento y CoVet es Encargado del tratamiento.
El Módulo Tres (Encargado a Encargado) se aplica cuando el Cliente es Encargado del tratamiento y CoVet es Subencargado.
Se aplica la Cláusula 7 (Cláusula de adhesión).
Para la Cláusula 9 (Uso de subencargados), se aplica la Opción 2 (Autorización general por escrito), con los períodos de notificación y oposición indicados en la Sección 6 de este DPA.
Para la Cláusula 11 (Recurso), no se aplica el lenguaje opcional.
Para la Cláusula 13 (Supervisión), la autoridad de control competente se determinará de conformidad con el RGPD. Cuando no sea claramente aplicable otra autoridad de control, la Comisión Irlandesa de Protección de Datos actuará como autoridad de control competente a efectos de las SCC.
Para las Cláusulas 17 y 18, las SCC se regirán por las leyes de Irlanda y las controversias serán resueltas por los tribunales de Irlanda, únicamente a efectos de las SCC.
3. Anexos
El Anexo I de las SCC se completa con el Anexo A de este DPA.
El Anexo II de las SCC se completa con el Anexo B de este DPA.
El Anexo III de las SCC se completa con el Anexo C de este DPA.
4. Transferencias del Reino Unido y Suiza
Para transferencias sujetas al UK GDPR, las SCC se aplican modificadas por el Addendum internacional de transferencia de datos del Reino Unido u otro mecanismo de transferencia del Reino Unido aplicable. Para transferencias sujetas a la ley suiza de protección de datos, las referencias al RGPD, los Estados miembros de la UE y las autoridades de control se interpretarán según sea necesario para dar efecto a la ley suiza y al Comisionado Federal Suizo de Protección de Datos e Información.
5. Conflicto
Si existe conflicto entre este DPA y las SCC, las SCC prevalecen en la medida requerida por las Leyes de protección de datos aplicables.
Anexo 2: Adenda HIPAA
Esta Adenda HIPAA se aplica únicamente cuando el Cliente es una Covered Entity o Business Associate en virtud de HIPAA y CoVet crea, recibe, mantiene o transmite PHI en nombre del Cliente en relación con los Servicios. Si se aplica esta Adenda HIPAA, CoVet actúa como Business Associate o Subcontractor del Cliente, según corresponda.
1. Definiciones HIPAA
Los términos con mayúscula inicial utilizados en esta Adenda HIPAA pero no definidos en este DPA tienen los significados que se les atribuyen en HIPAA, incluidos Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information y Use.
2. Usos y divulgaciones permitidos
CoVet puede Use o Disclose PHI únicamente según lo permitido por esta Adenda HIPAA, el Acuerdo aplicable, las instrucciones documentadas del Cliente o como Required by Law. El Cliente autoriza a CoVet a Use y Disclose PHI para los siguientes fines permitidos:
Prestar, operar, mantener, proteger, dar soporte, solucionar problemas y mejorar los Servicios solicitados por el Cliente o los Usuarios autorizados.
Registrar, recibir, transcribir, resumir, estructurar, redactar, generar, almacenar, recuperar, mostrar, transmitir y gestionar documentación clínica, comunicaciones, contenido de flujo de trabajo, archivos y resultados relacionados enviados a los Servicios o generados a través de ellos.
Realizar actividades administrativas, de gestión, facturación, legales, cumplimiento, seguridad y auditoría para CoVet, siempre que cualquier Disclosure a un tercero para esos fines se realice únicamente cuando sea Required by Law o bajo garantías razonables de confidencialidad y Use o Disclosure ulterior limitado.
Prestar servicios de Data Aggregation relacionados con las operaciones de atención médica del Cliente cuando lo permitan HIPAA y el Acuerdo aplicable.
Desidentificar PHI de conformidad con HIPAA, cuando lo permita el Acuerdo aplicable, y utilizar información desidentificada de una manera no prohibida por HIPAA.
Informar infracciones de la ley a las autoridades correspondientes de conformidad con 45 C.F.R. 164.502(j)(1).
CoVet realizará Uses, Disclosures y solicitudes de PHI de conformidad con el estándar Minimum Necessary de HIPAA cuando sea aplicable. CoVet no venderá PHI, no Use ni Disclose PHI con fines de underwriting, ni Use PHI para entrenar o ajustar modelos de IA salvo que el Cliente lo autorice expresamente por escrito y HIPAA lo permita.
3. Obligaciones HIPAA de CoVet
Usar salvaguardas apropiadas y cumplir la HIPAA Security Rule con respecto a PHI electrónica para prevenir Use o Disclosure de PHI distintos de los permitidos por esta Adenda HIPAA.
Informar al Cliente de cualquier Use o Disclosure no autorizado de PHI, Breach of Unsecured PHI o Security Incident que involucre PHI electrónica del que CoVet tenga conocimiento, de conformidad con HIPAA y este DPA.
Garantizar que cualquier Subcontractor que cree, reciba, mantenga o transmita PHI en nombre de CoVet acepte por escrito sustancialmente las mismas restricciones, condiciones y requisitos que se aplican a CoVet con respecto a PHI.
Poner PHI en un Designated Record Set a disposición del Cliente según sea necesario para que el Cliente cumpla sus obligaciones bajo 45 C.F.R. 164.524.
Poner PHI a disposición para modificación e incorporar modificaciones según lo indique el Cliente de conformidad con 45 C.F.R. 164.526.
Poner a disposición la información requerida para que el Cliente proporcione un registro de Disclosures de conformidad con 45 C.F.R. 164.528.
Poner a disposición del Secretary las prácticas internas, libros y registros de CoVet relacionados con Use y Disclosure de PHI para determinar el cumplimiento de HIPAA.
Al terminar, devolver o destruir PHI según lo previsto en este DPA y el Acuerdo aplicable, si es factible, y continuar protegiendo cualquier PHI conservada.
4. Obligaciones HIPAA del Cliente
El Cliente no solicitará que CoVet Use o Disclose PHI de una manera que no estaría permitida por HIPAA si la realizara el Cliente.
El Cliente notificará a CoVet cualquier limitación en el aviso de prácticas de privacidad del Cliente, cualquier restricción sobre Use o Disclosure de PHI o cualquier cambio en el permiso de un Individual que pueda afectar el Use o Disclosure de PHI por parte de CoVet.
El Cliente es responsable de responder a solicitudes de Individuals, determinar si un Breach requiere notificación y cumplir las obligaciones del Cliente bajo HIPAA, salvo en la medida en que dichas obligaciones se deleguen expresamente a CoVet en el Acuerdo aplicable.
5. Terminación por causa HIPAA
Si cualquiera de las Partes conoce un patrón de actividad o práctica de la otra Parte que constituya una infracción material de esta Adenda HIPAA, la Parte no infractora proporcionará una oportunidad de subsanación si la subsanación es factible. Si la subsanación no es factible o la infracción no se subsana, la Parte no infractora puede terminar los Servicios afectados o tomar otra acción requerida por HIPAA.
6. HITECH Act
Las Partes cumplirán las disposiciones aplicables de HITECH Act y las regulaciones HHS relacionadas. Las Partes cooperarán de buena fe para modificar esta Adenda HIPAA según sea razonablemente necesario para cumplir futuros cambios de HIPAA que se apliquen a los Servicios.