Acuerdo de Tratamiento de Datos (DPA)
01.Objeto y roles
Este Acuerdo regula el tratamiento de datos que Galatea AI S.A.S. ("Encargado") realiza por cuenta y según las instrucciones del Cliente ("Responsable") en el marco de la prestación de los Servicios. El Cliente determina las finalidades y medios; Galatea trata los datos únicamente para prestar el Servicio.
02.Objeto del tratamiento
- Naturaleza y finalidad: producción de evidencia clínica y de acceso al mercado (revisiones sistemáticas, RWE, evaluación económica, value dossiers).
- Categorías de titulares: según los insumos del Cliente.
- Tipos de datos: los contenidos en los insumos aportados por el Cliente y los metadatos de uso.
03.Obligaciones de Galatea (Encargado)
- Tratar los datos solo siguiendo instrucciones documentadas del Cliente.
- No usar los datos del Cliente para entrenar modelos ni para fines propios.
- Garantizar la confidencialidad del personal autorizado.
- Aplicar medidas técnicas y organizativas de seguridad apropiadas (cifrado en tránsito y en reposo, control de acceso, registro de auditoría).
- Asistir al Cliente para responder a solicitudes de titulares y a obligaciones de seguridad e incidentes.
04.Subencargados
El Cliente autoriza el uso de subencargados para alojamiento e infraestructura. Galatea mantendrá una lista actualizada y exigirá a cada subencargado obligaciones equivalentes.
05.Transferencias internacionales
Cuando el tratamiento implique transferencia fuera de Colombia, se adoptarán las garantías exigidas por el Decreto 1377 de 2013 y, para clientes sujetos a GDPR, cláusulas contractuales tipo u otros mecanismos válidos.
06.Notificación de incidentes
Galatea notificará al Cliente sin demora indebida tras tener conocimiento de una violación de seguridad que afecte datos personales del Cliente, con la información razonablemente disponible para que el Cliente cumpla sus obligaciones.
07.Devolución y eliminación
A la terminación del Servicio, y salvo obligación legal de conservación, Galatea devolverá o eliminará de forma segura los datos del Cliente dentro del plazo acordado, certificándolo a solicitud del Cliente.
08.Auditoría
Galatea pondrá a disposición del Cliente la información razonable para demostrar el cumplimiento de este DPA y permitirá auditorías en condiciones pactadas (alcance, frecuencia y confidencialidad).
09.Vigencia
Este DPA permanece vigente mientras Galatea trate datos por cuenta del Cliente y se interpreta como parte integral del contrato comercial. Contacto: nicolas@galateaai.net.