1.1 El Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos de 2016 (RGPD) es una de las leyes más importantes que afectan a la forma en que EPIC Health Solutions y VIP Universal Medical Insurance Group llevan a cabo sus actividades de tratamiento de datos. Se aplicarán multas significativas si se considera que se ha producido una infracción del RGPD, cuyo objetivo es proteger los datos personales de los ciudadanos de la Unión Europea. La política de EPIC Health Solutions y VIP Universal Medical Insurance Group es garantizar que nuestro cumplimiento del RGPD y otras leyes pertinentes sea claro y demostrable en todo momento.

1.2 Definiciones

Hay un total de 26 definiciones enumeradas en el artículo 4 – Definiciones del RGPD y no es apropiado reproducirlas todas aquí. Sin embargo, las definiciones más fundamentales con respecto a esta política son las siguientes:

Datos personales se definen como: «cualquier información relacionada con una persona física identificada o identificable («el interesado»); se considera identificable a una persona física que puede ser identificada, directa o indirectamente, en particular mediante referencia a un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física».

Tratamiento significa que «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, la alineación o combinación, la restricción, la supresión o la destrucción».

Responsable del tratamiento: «la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales; cuando los fines y medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por el Derecho de la Unión o de los Estados miembros».

1.3 Principios relativos al tratamiento de datos personales

El RGPD se basa en varios principios fundamentales.

Estos dictaminan que los datos personales deben ser:

1. Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»).
2. Recogidos con fines determinados, explícitos y legítimos, y no tratados posteriormente de manera incompatible con dichos fines («limitación del fin»).
3. Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan («minimización de datos»).
4. Exactos y, cuando sea necesario, actualizados («exactitud»).
5. Conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales («limitación del almacenamiento»).
6. Tratados de manera que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas («integridad y confidencialidad»). Además, el responsable del tratamiento será responsable de garantizar el cumplimiento de todos estos principios y deberá poder demostrarlo («responsabilidad»).

EPIC Health Solutions y VIP Universal Medical Insurance Group deben garantizar el cumplimiento de todos estos principios tanto en el tratamiento que llevan a cabo actualmente como en la introducción de nuevos métodos de tratamiento, tales como nuevos sistemas informáticos. El funcionamiento de un sistema de gestión de la seguridad de la información (SGSI) que cumpla con la norma internacional ISO/IEC 27001 es una parte fundamental de ese compromiso.

1.4 Privacidad desde el diseño

EPIC Health Solutions y VIP Universal Medical Insurance Group han adoptado el principio de privacidad desde el diseño y garantizarán que la definición y planificación de todos los sistemas nuevos o que hayan sufrido cambios significativos que recopilen o procesen datos personales se sometan a la debida consideración de las cuestiones de privacidad, incluida la realización de una o varias evaluaciones de impacto sobre la privacidad (también conocidas como protección de datos).

La evaluación del impacto en la privacidad incluirá:

• Consideración de cómo se procesarán los datos personales y con qué fines.
• Evaluación de si el procesamiento propuesto de los datos personales es necesario y proporcionado a los fines.

• Evaluación de los riesgos para las personas en el procesamiento de los datos personales.

• Qué controles son necesarios para abordar los riesgos identificados y demostrar el cumplimiento de la legislación. Se considerará el uso de técnicas como la minimización de datos y la seudonimización, cuando sea aplicable y apropiado.

1.5 Responsable de protección de datos

El RGPD exige que se defina la función de delegado de protección de datos (DPO) si una organización es una autoridad pública, si realiza un seguimiento a gran escala o si trata tipos de datos especialmente sensibles a gran escala. El DPO debe tener un nivel adecuado de conocimientos y puede ser un recurso interno o externalizarse a un proveedor de servicios adecuado.

Basándose en estos criterios, EPIC Health Solutions y VIP Universal Medical Insurance Group han nombrado a Erick Valverde responsable de protección de datos (DPO).

El DPO contará con los recursos necesarios para cumplir sus funciones y mantener sus conocimientos especializados sobre la legislación y las prácticas en materia de protección de datos. El DPO actuará de forma independiente y no será despedido ni sancionado por el desempeño de sus funciones. Dependerá directamente del más alto nivel de la dirección.

Las principales tareas del delegado de protección de datos incluyen:

• Supervisar el cumplimiento del RGPD y otras leyes de protección de datos. • Asesorar sobre las evaluaciones de impacto relativas a la protección de datos (EIPD).
• Cooperar y actuar como punto de contacto para la autoridad de control.
• Asesorar sobre las obligaciones en materia de protección de datos. Los datos de contacto del delegado de protección de datos se facilitarán a los interesados y a la autoridad de control, según sea necesario.

1.6 Notificación de incumplimiento

La política de EPIC Health Solutions y VIP Universal Medical Insurance Group es actuar de manera justa y proporcionada a la hora de considerar las medidas que deben adoptarse para informar a las partes afectadas sobre las violaciones de datos personales. Esto se gestionará de acuerdo con nuestro Procedimiento de respuesta a incidentes de seguridad de la información, que establece el proceso general de gestión de los incidentes de seguridad de la información.

1.7 Cumplimiento del Marco de Protección de Datos de EU-U.S., UK-U.S.

EPIC Health Solutions y VIP Universal Medical Insurance Group se comprometen a cumplir con los principios del Marco de Protección de Datos UE-EE. UU. y la Extensión del Reino Unido al Marco de Protección de Datos UE-EE. UU. Estos marcos mejoran nuestra capacidad para transferir datos personales desde la Unión Europea y el Reino Unido a los Estados Unidos, al tiempo que garantizan una protección adecuada y el cumplimiento de estrictas normas de protección de datos.

Principios del DPF:

Aviso: Informamos a las personas sobre los fines para los que recopilamos y utilizamos sus datos personales, los tipos de terceros a los que revelamos los datos y los medios que ofrecemos a las personas para limitar el uso y la divulgación de sus datos.

Elección: Ofrecemos a las personas la oportunidad de elegir (optar por no participar) si sus datos personales se divulgan a un tercero o se utilizan para un fin distinto al que se recopilaron originalmente o al que posteriormente autorizó la persona. Responsabilidad por la transferencia

posterior: Antes de transferir datos personales a un tercero, nos aseguramos de que este se adhiera a los principios del DPF o se comprometa a proporcionar las protecciones adecuadas por contrato.

Seguridad: tomamos medidas razonables y adecuadas para proteger los datos personales contra la pérdida, el uso indebido y el acceso no autorizado, la divulgación, la alteración y la destrucción. Integridad de los datos y limitación de la

finalidad: limitamos la recopilación de datos personales a lo que es relevante para los fines del tratamiento y nos aseguramos de que dichos datos sean fiables, exactos, completos y actuales. Solo tratamos los datos personales de forma compatible con los fines para los que han sido recopilados o posteriormente autorizados por la persona.

Acceso: Proporcionamos a las personas acceso a sus datos personales y les permitimos corregir, modificar o eliminar información cuando sea inexacta o se haya procesado infringiendo los principios, salvo cuando la carga o el gasto que suponga proporcionar dicho acceso sea desproporcionado en relación con los riesgos para la privacidad de la persona. Recurso, cumplimiento y responsabilidad: Proporcionamos mecanismos sólidos para garantizar el cumplimiento de los principios del DPF y resolver disputas sobre nuestra adhesión a estos principios, incluido el recurso a mecanismos independientes de resolución de disputas.

Mecanismo de recurso independiente para datos no relacionados con recursos humanos: Como parte de nuestro compromiso en virtud del DPF, EPIC Health Solutions y VIP Universal Medical Insurance Group han designado el siguiente mecanismo de recurso independiente para atender las reclamaciones y proporcionar un recurso adecuado y gratuito a las personas:

• Para el DPF entre la UE y EE. UU.: Autoridades de protección de datos de la UE (DPA).
• Para el DPF entre el Reino Unido y EE. UU.: Oficina del Comisionado de Información del Reino Unido (ICO). Esta mejora de la política garantiza la claridad en cuanto a nuestros mecanismos de transferencia internacional de datos y nuestro compromiso con la protección de la privacidad y la seguridad de los datos personales en diversos marcos legales, incluido el DPF.

1.7.1 Compromiso con el DPF

EPIC Health Solutions y VIP Universal Medical Insurance Group cumplen con el Marco de Protección de Datos UE-EE. UU. (EU-U.S. DPF) y la Extensión del Reino Unido al EU-U.S. DPF, según lo establecido por el Departamento de Comercio de los Estados Unidos. EPIC Health Solutions y VIP Universal Medical Insurance Group han certificado ante el Departamento de Comercio de los Estados Unidos que se adhieren a los Principios del Marco de Protección de Datos UE-EE. UU. (Principios del DPF UE-EE. UU.) en lo que respecta al tratamiento de los datos personales recibidos de la Unión Europea y el Reino Unido, basándose en el DPF UE-EE. UU. y la Extensión del Reino Unido al DPF UE-EE. UU. Si existe algún conflicto entre los términos de esta política de privacidad y los Principios del Marco de Protección de Datos UE-EE. UU., prevalecerán los Principios. Para obtener más información sobre el programa del Marco de Protección de Datos (DPF) y ver nuestra certificación, visite https://www.dataprivacyframework.gov/

1.7.2 Adhesión de entidades o filiales estadounidenses

EPIC Health Solutions y VIP Universal Medical Insurance Group informan a las personas que las siguientes entidades estadounidenses o filiales estadounidenses también se adhieren a los Principios del DPF entre la UE y EE. UU., incluyendo, según corresponda, la Extensión del Reino Unido al DPF entre la UE y EE. UU., y están cubiertas por la presentación del DPF de nuestra organización.

• VIP Administration Services, LLC, que opera bajo el nombre comercial «VUMI Group»

• Assured Benefits Administrator, Inc.

• Verus RX, LLC

• Verus RX II, LLC

1.7.3 Facultades de investigación y ejecución de la FTC

EPIC Health Solutions y VIP Universal Medical Insurance Group están sujetas a las facultades de investigación y ejecución de la Comisión Federal de Comercio (FTC).

1.7.4 Arbitraje vinculante

En determinadas condiciones, las personas pueden recurrir al arbitraje vinculante. EPIC Health Solutions y VIP Universal Medical Insurance Group están obligadas a arbitrar las reclamaciones y a cumplir los términos establecidos en el anexo I de los Principios DPF, siempre que la persona haya recurrido al arbitraje vinculante mediante notificación a nuestra empresa y haya seguido los procedimientos y las condiciones establecidos en el anexo I de los Principios.

1.7.5 Divulgaciones a terceros

EPIC Health Solutions y VIP Universal Medical Insurance Group pueden divulgar información personal a los siguientes tipos de terceros y para los siguientes fines:

• Proveedores de servicios: para proporcionar, mantener y mejorar nuestros servicios. Estos proveedores de servicios están obligados a cumplir los Principios de DPF o a proporcionar las protecciones adecuadas por contrato. • Socios: con fines de marketing e investigación conjuntos, con el consentimiento adecuado de las personas cuando sea necesario.
• Obligaciones legales: para cumplir con las obligaciones legales, como responder a las solicitudes legítimas de las autoridades públicas, incluyendo el cumplimiento de los requisitos de seguridad nacional o de aplicación de la ley.

1.7.6 Responsabilidad por transferencias posteriores

EPIC Health Solutions y VIP Universal Medical Insurance Group reconocen su responsabilidad en casos de transferencias posteriores a terceros.