En esta política se pretende dar información acerca de los tratamientos de datos realizados por MAIA HEALTH TECH S.L. (en adelante MAIA AESTHETICS®) como Responsable/Encargado de tratamiento de datos en los servicios como desarrollador TIC-IA que proporciona a sus clientes. En lo referente a medidas de seguridad adquiridas y la comunicación a sus clientes, todo lo redactado en el presente documento se alinea con lo establecido en el Reglamento Europeo de Protección de datos GDPR 2016/679, en la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de los Derechos Digitales, Esquema Nacional de Seguridad, normativa de calidad ISO 27001-9001 y Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial. El presente documento se ha elaborado conforme a los controles de seguridad y requerimientos de la legislación citada.
I. Objeto
MAIA AESTHETICS® desarrolla un sistema de gestión de seguridad de la información con el fin de aportar garantías de seguridad en los tratamientos de datos de sus clientes en los servicios que les presta. Esta política sirve como instrumento de cumplimiento del principio de responsabilidad activa establecido por el Reglamento Europeo de Protección de Datos (UE) 2016/679 y la Ley Orgánica 03/2018 de Protección de Datos Personales.
Las medidas de seguridad que se describen a continuación se han desarrollado previa realización de un análisis de riesgos y de una evaluación de impacto de los sistemas de tratamiento de datos, infraestructura y software de MAIA AESTHETICS®.
MAIA AESTHETICS® es el primer agente de IA para medicina estética y cirugía plástica. Construido por médicos, ingenieros del MIT y abogados expertos en protección de datos. Los años de experiencia y los clientes que nos han contratado, avalan la calidad de los servicios ofrecidos. Nuestra filosofía y nuestros valores son la base de nuestro trabajo.
II. Gestión de software y servicios
Para ello MAIA AESTHETICS®, desarrolla Inteligencia Artificial, aplicaciones, software, contenidos en la red, aporta capital humano, con el fin de mantener una relación y comunicación constantes, entender las necesidades de sus clientes y conseguir los mejores índices de satisfacción con sus servicios. Proteger nuestra información, la de nuestros clientes y la de los pacientes de nuestros clientes, es el principal objetivo en MAIA AESTHETICS®, para ello cumplimos con controles de protección ante robos, pérdidas, manipulaciones o publicaciones por terceros no autorizados.
Estos controles de seguridad y de calidad de servicios, se basan en lo establecido en el Reglamento Europeo de Protección de Datos -UE- 2016/679, la Ley Orgánica 03/2018 de Protección de Datos personales y Garantía de Derechos Digitales, la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico, Reglamento Europeo de Inteligencia Artificial y el resto de legislaciones relacionadas con la actividad que desarrolla MAIA AESTHETICS®.
III. Backup
MAIA AESTHETICS® asegura la información con cierto nivel de relevancia, servidores, dispositivos de red para almacenamiento de información, archivos de configuración de dispositivos de red y seguridad, entre otros, de forma periódica realizando respaldos mediante mecanismos y controles adecuados que garantizan su identificación, protección, integridad y disponibilidad.
Tenemos establecido un plan de restauración de copias de seguridad que son probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.
MAIA AESTHETICS® dispone procedimientos explícitos de respaldo y recuperación de la información que incluyen especificaciones acerca de la frecuencia, identificación y definirá conjuntamente con los responsables los períodos de retención de la misma. Contamos con los recursos necesarios para permitir la identificación relacionada con los medios de almacenamiento, la información contenida en ellos y la ubicación física de los mismos para permitir un rápido y eficiente acceso a los medios que contienen la información resguardada.
El sitio externo donde se resguardan dichas copias, tiene los controles de seguridad adecuados, y cumple con las máximas medidas de protección y seguridad física exigidas.
IV. Planes de contingencia
MAIA AESTHETICS® dispone de Planes de contingencia que garantizan que toda la información relevante de nuestros centros de procesamiento de datos, es respaldada en diferentes localizaciones, y que dicha información está disponible y es fiable. Esta información es almacenada en varios sitios externos que cuentan con los más altos estándares de seguridad en el mundo (para más información, escriba su petición a través de los medios indicados).
Toda la infraestructura virtual de MAIA AESTHETICS®, está respaldada y probada, mediante una empresa externa contratada especializada en seguridad informática. Al igual que los backup, cuentan con un plan de restauración de respaldos que son probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.
V. Mecanismos de seguridad
El centro de procesamiento de datos y cuarto de equipos usados por MAIA AESTHETICS®, ubicados en Europa, se encuentran en áreas protegidas físicamente contra el acceso no autorizado, daño o interferencia y cumplen con las Políticas de Seguridad Física acordes a la tipología de datos almacenados.
Los equipos y dispositivos se bloquean después de un tiempo de inactividad, tras el cual, el usuario debe autenticarse antes de reanudar su actividad.
Para prevenir la pérdida de información daño o el compromiso de los activos de información y la interrupción de las actividades de MAIA AESTHETICS®, los equipos están conectados a la toma regulada de respaldo destinada para tal fin.
Tenemos en cuenta los procesos de instalación y retirada de equipos, de tal manera que estos se realizan de forma controlada y segura. Disponemos de mecanismos de protección de los equipos, incluso cuando se utilizan fuera de la oficina, reduciendo el riesgo no autorizado de acceso a la información y como protección contra pérdida o robo.
VI. Comunicación y operaciones
Con el objetivo de mantener un correcto funcionamiento y seguro del tratamiento de datos, MAIA AESTHETICS® ha dispuesto una política concreta para la gestión de comunicaciones y operaciones.
Se han establecido para ello los siguientes controles:
- Controles para establecimiento de responsabilidad y procedimientos
- Controles de servicios por terceros
- Planificación y aceptación del sistema con gestión de la capacidad, técnica y humana
- Controles contra código malicioso en nuestros servidores y en nuestro entorno de producción
- Controles y seguridad en los servicios de red
- Control de seguridad en intercambios de información
- Retirada de soportes, procedimiento de manipulación y seguridad en la documentación.
VII. Proveedores
En MAIA AESTHETICS® contamos actualmente con importantes proveedores a nivel tecnológico que garantizan soporte, seguridad, robustez y estabilidad, en los servicios de comunicaciones y hospedaje. En los cuales nos apoyamos para desarrollo de nuestros servicios.
MAIA AESTHETICS® mantiene informados a sus clientes de la contratación de estos proveedores considerados como encargados/subencargados de tratamiento en los servicios que MAIA AESTHETICS® les presta.
Estos encargados y sub-encargados de tratamiento se comprometen a cumplir por escrito los mismos requisitos formales que MAIA AESTHETICS® tiene comprometidos con sus clientes, en lo que se refiere a garantizar que el tratamiento de datos personales y los derechos de los usuarios afectados, se ajustan a la normativa vigente.
VIII. Infraestructura y software
Para más información sobre nuestra infraestructura, escriba su petición a través de los medios indicados.
IX. Acceso
MAIA AESTHETICS® implementa medidas de seguridad aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento. El control de acceso de datos e información sensible se basan en el principio del menor privilegio, lo que implica que no se otorgan acceso a menos que sea explícitamente permitido.
Los usuarios son autorizados por el Responsable de Seguridad para el uso del sistema o servicio de información de MAIA AESTHETICS®. Se verifica que el nivel de acceso otorgado es el adecuado para los propósitos de nuestra empresa, pero conservando una adecuada segregación de funciones.
Únicamente se proporciona a los usuarios y/o proveedores el acceso a los servicios para los que específicamente se les haya autorizado su uso. Se utilizan métodos apropiados de autenticación para el control de acceso a los usuarios remotos. Existen controles adicionales para el acceso por redes inalámbricas. Hay establecida una adecuada segregación de redes, separando los entornos de red de usuarios y los servicios.
El uso de programas que puedan ser capaces de invalidar los controles del sistema y de la aplicación, están restringidos y estrictamente controlados. Las sesiones inactivas se cierran después de un período de inactividad definido.
Las cuentas de usuario de herramientas o productos que vengan por omisión son deshabilitadas inmediatamente después de la instalación de los sistemas o software.
X. Comunicaciones
Se presta atención especial al manejo de la seguridad en redes, la cual puede extenderse más allá de los límites físicos de MAIA AESTHETICS®. Disponemos de procedimientos y medidas especiales para proteger el paso de información sensible a redes de dominio público. MAIA AESTHETICS® garantiza que los proveedores de servicios de red implementan medidas en cumplimiento con las características de seguridad, acuerdos de niveles de servicio y requisitos de gestión.
Aplicamos controles especiales para salvaguardar la integridad y confidencialidad de los datos que pasan por redes públicas o redes inalámbricas y para proteger los sistemas y aplicaciones conectadas, garantizando la disponibilidad de los servicios de red y computadores conectados.
XI. Quiebras de seguridad
En el improbable caso de una quiebra de seguridad, MAIA AESTHETICS® notificará a su cliente afectado, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de nuestros sistemas de comunicación habituales establecidos, la brecha de seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
En dicha comunicación se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
3. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
XII. Análisis de riesgos
MAIA AESTHETICS® desarrolla un proceso formal interno continuo de análisis de riesgos, que elabora un inventario de las posibles vulnerabilidades y amenazas sobre los activos de información. Realizamos con auditores internos y externos de forma periódica, un estudio del nivel de riesgo de nuestra infraestructura y de nuestros servicios, adoptando soluciones, implementando posibles salvaguardas y controles técnicos adecuados para minimizar estos posibles riesgos.
XIII. Compliance
En nuestros sistemas de información y procedimientos técnicos están identificados todos los requerimientos relacionados con la normativa actual de prestación de Servicios de la Sociedad de la Información, de Propiedad Intelectual, de Inteligencia Artificial y de Protección de Datos personales.
De esta manera MAIA AESTHETICS® garantiza un estricto cumplimiento de las medidas de seguridad, procedimientos y controles que rigen dichas normativas. La seguridad de los datos con los requerimientos legales adecuados se encuentra también en una constante mejora continua y aseguramiento de su calidad, mediante los procesos internos de auditoría.
La normativa de seguridad relativa a datos personales se rige y estipula hacia sus clientes y proveedores a través de cláusulas de privacidad y protección de datos personales y mediante la documentación que se realiza en la contratación de los servicios.
De la misma manera podemos garantizar que los usuarios autorizados para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes. Estos usuarios son informados adecuadamente mediante sesiones de formación y concienciación, planificadas y orientadas por nuestro Delegado de Protección de Datos.
XIV. Derechos de los afectados
Nuestro cliente tiene derecho a solicitar y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento, de su origen y de las comunicaciones que puedan afectar a los mismos. Los derechos de protección de datos que la persona usuaria puede ejecutar están disponibles en nuestra Política de Privacidad.
XV. DPD
MAIA AESTHETICS® cuenta con un delegado de protección de datos (DPD) nombrado y asignado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados y la práctica en materia de Protección de Datos y a su capacidad para desempeñar las funciones indicadas en la legislación actual de Protección de Datos. Su función es la de asesorarnos en materia de Protección de datos, supervisar su correcta aplicación, formar y concienciar a nuestros usuarios y proveedores y ser el punto de contacto de MAIA AESTHETICS® con posibles reclamaciones y sugerencias de los interesados, así como actuar de enlace con la Autoridad de Control.
XVI. IA
Algunos de los Servicios de MAIA AESTHETICS® incorporan tecnologías de inteligencia artificial (IA), para ofrecer el mejor servicio posible a nuestros clientes. Cuando usted interactúa con nuestra empresa, la información que proporcione puede ser procesada por sistemas automatizados con el único fin de mejorar el rendimiento de nuestros servicios.
En los casos en los que nuestros servicios implican el tratamiento de datos personales por sistemas de IA, aplicamos medidas técnicas y organizativas adicionales para promover la transparencia e implementar la seguridad de los mismos.
Nuestras prácticas cumplen las leyes y reglamentos aplicables en materia de protección de datos y gobernanza de la IA a nivel Europeo. Para más información sobre nuestras prácticas de uso de la IA, escriba su petición a través de los medios indicados.