Butterfly Network ("Butterfly")
Preguntas frecuentes sobre privacidad global

Última actualización: 26 de marzo de 2020

Esta página de preguntas frecuentes está diseñada para responder a preguntas habituales sobre el trato de la privacidad, la protección de datos y la seguridad por parte de Butterfly, como por ejemplo preguntas sobre la forma de cumplir con regulaciones globales de protección de datos, como el Reglamento General de Protección de Datos de la Unión Europea («RGPD») y las leyes de privacidad de Australia y Nueva Zelanda. También están destinadas a informar mejor a nuestros clientes, profesionales médicos (como usted), con respecto a la información sobre el paciente que proporciona a Butterfly.

Esperamos que le haya resultado útil esta página de preguntas frecuentes. Tenga en cuenta que no se trata de asesoramiento legal, ni pretende informar a su empresa de los pasos necesarios para cumplir con sus obligaciones legales.

¿Tiene Butterfly un programa de privacidad?

Sí, Butterfly cuenta con un programa de privacidad completo. 

No podemos explicarle cómo es el cumplimiento de la privacidad en su caso concreto, pero podemos contarle cómo funcionan nuestros servicios y los controles de seguridad de los que disponemos. Nos esforzamos por garantizar que nuestros Servicios utilizan controles de seguridad punteros en el sector, pero, en última instancia, es responsabilidad suya decidir si el uso de nuestros Servicios es adecuado para su actividad. En Butterfly intentamos que esta decisión le sea fácil haciendo lo siguiente:

  • Contar con términos de protección de datos y seguridad detallados en nuestros contratos, incluyendo (para los casos en que procesemos datos de la UE y Suiza) un Anexo de procesado de datos que cumpla con el RGPD.
  • Certificar bajo el programa Escudo de privacidad entra la UE y EE. UU. y entre Suiza y EE. UU. que se protege la información según los principios del Escudo de privacidad.  Para más información sobre el Escudo de privacidad, visite www.privacyshield.gov, o si quiere ver nuestro Certificado, entre en https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  
  • Contar con medidas de seguridad técnicas y organizativas para proteger la información personal que nos confíe, incluyendo las medidas descritas aquí.
  • Nombrar a un responsable de protección de datos (RPD) para que supervise el desarrollo continuo del compromiso de Butterfly con la protección de datos y de la privacidad. Puede ponerse en contacto con nuestro RPD aquí: dpo@butterflynetinc.com.

Si tiene alguna otra pregunta sobre el cumplimiento de protección de datos de Butterfly, envíe un correo a nuestro responsable de protección de datos utilizando los datos de contacto anteriores. 

¿Tiene Butterfly un equipo de seguridad exclusivo? 

Sí: la seguridad informática tiene una importancia primordial para Butterfly.  Esperamos de todo nuestro personal una participación activa para mantener la seguridad de la información que nos confían nuestros clientes. 

Un responsable principal de seguridad informática (CISO) dirige nuestro equipo de seguridad.  Nuestro CISO cuenta con un equipo de seguridad informática exclusivo que se encarga de garantizar que disponemos de los medios de seguridad técnicos y organizativos apropiados, incluyendo las medidas descritas aquí.

¿Qué información personal procesamos?

En relación con nuestros Servicios, los profesionales médicos pueden cargar y alojar en la plataforma de Butterfly determinada información sobre el paciente («Información sobre el paciente») Nuestros clientes determinarán qué Información sobre el paciente se sube a la Plataforma, pero podría incluir el nombre del paciente, su género, su fecha de nacimiento y las imágenes relacionadas con el número de la historia clínica capturadas con el dispositivo iQ, además de apuntes clínicos del profesional médico sobre el paciente y sus ecografías. 

Toda la Información sobre el paciente procesada por Butterfly en esta plataforma se considera información personal, y la UE y muchos países fuera de la UE, cuentan con leyes que protegen la recopilación, el uso, el almacenamiento y la transferencia de los datos personales de sus ciudadanos. De hecho, la Información sobre el paciente se trata en muchos lugares como datos confidenciales (o «datos de categoría especial») y, por lo tanto, está sujeta a unos mayores requisitos de protección y cumplimiento.

Butterfly ha adoptado varias medidas para que sus clientes puedan capturar y almacenar Información sobre el paciente mediante los Servicios de Butterfly de forma confidencial y segura. Butterfly tiene un firme compromiso con el cumplimiento de las leyes aplicables de protección de datos y de privacidad al procesar toda la información personal recibida. 

¿Dónde se almacena la información sobre el paciente?

El lugar donde se almacenan sus datos depende de la ubicación geográfica de su organización. Actualmente utilizamos los siguientes centros de datos AWS para almacenarlos:

  • Europa: sus datos se almacenan en la AWS de la región eu-central-1 (Frankfurt).
  • Australia y Nueva Zelanda: sus datos se almacenan en la AWS de la región ap-southeast-2 (Sidney)
  • Norteamérica y resto del mundo: sus datos se almacenan en la AWS us-east-1 (Virginia del Norte) y la AWS us-west-2 (Oregón).
  • Canadá: sus datos se almacenan en la AWS de la región de Montreal, QC.

Las regiones no limitan el acceso de los clientes a Butterfly Network: sólo indican la ubicación geográfica en la que se almacenan los datos y en la que se suministran los recursos informáticos.  Tenga en cuenta que, mientras sus datos estén almacenados en las regiones mencionadas anteriormente, el personal de Butterfly Network de Estados Unidos podrá acceder a los mismos, pero sólo hasta donde sea necesario para dar soporte, asegurar y mantener los servicios de acuerdo con nuestro contrato con nuestros clientes. Los datos en forma seudonimizada o agregada también pueden ser almacenados en nuestros sistemas centrales de almacenamiento y procesamiento en los Estados Unidos.

¿Es cierto que los organismos públicos de Columbia Británica y Nueva Escocia deben almacenar toda la información personal que tienen en Canadá?

No, no es así. La ley de libertad de información y protección de la vida privada de Columbia Británica (FOIPPA) y la ley de protección de la divulgación internacional de información personal (PIIDPA) de Nueva Escocia contienen excepciones en virtud de las cuales los organismos públicos de esas provincias pueden almacenar información personal fuera de Canadá si se ha presentado la información a la persona y la persona a la que se refiere la información ha consentido que se acceda a la misma desde otra jurisdicción o que se almacene en otra jurisdicción de conformidad con los reglamentos de la FOIPPA o la PIIDPA. La PIIDPA da más margen a los jefes de los organismos públicos de Nueva Escocia para permitir el almacenamiento de información personal fuera de Canadá, donde el almacenamiento debe cumplir los requisitos necesarios para el funcionamiento del organismo público.

¿Requiere el RGPD que los datos personales de la UE permanezcan en la UE?

No, el RGPD no requiere que los datos personales permanezcan en la UE. El RGPD restringe las transferencias de datos personales de la UE fuera de la UE a países como los Estados Unidos, a menos que el receptor proporcione la protección adecuada para dichos datos. Sin embargo, el Anexo de procesado de datos de la UE de Butterfly Network, que hace referencia a nuestra certificación de Escudo de privacidad, y las cláusulas modelo de la Comisión Europea, permite a nuestros clientes transferir legalmente los datos personales de la UE a Butterfly Network ubicada en los Estados Unidos. Puede ver los detalles de nuestra certificación de Escudo de privacidad aquí.

¿Cuáles son las funciones pertinentes de Butterfly, el paciente y los profesionales médicos según el RGPD?

Cuando los profesionales médicos transmiten Información sobre el paciente a Butterfly, estos (o el hospital para el que trabajan) son los controladores, Butterfly suele encargarse del tratamiento y el paciente suele ser el titular de los datos. En lo que respecta a sus funciones de procesado de datos, Butterfly se compromete a procesar la Información sobre el paciente de la UE según los requisitos del Artículo 28 del RGPD en su anexo estándar de procesado de datos (DPA), del cual se anexa una copia en los términos base (disponibles previa solicitud). 

A veces Butterfly actúa como controlador en su relación con los profesionales médicos, por ejemplo, cuando Butterfly recopila información sobre los profesionales médicos para fines de marketing, ventas y gestión de la relación con dichos profesionales (o el hospital para el que trabajan).  

Butterfly podrá, cuando las leyes vigentes y sus clientes lo permitan, actuar también como controlador en relación con cierta información sobre el paciente para sus actividades de aprendizaje profundo. Para más información sobre esto, vea el Aviso de privacidad de pacientes de Butterfly, que explica cómo utilizar la información sobre el paciente con estos fines. 

¿Qué hace Butterfly para cumplir y ayudar a sus clientes a cumplir el RGPD?

Butterfly ha emprendido su proyecto de cumplimiento con la ayuda de asesores especialistas externos para abordar el cumplimiento del RGPD. Las medidas específicas que se han adoptado, además de las descritas anteriormente, incluyen:

  • Enmendar nuestros contratos con los proveedores y clientes para garantizar que los términos cumplen el RGPD.
  • Asegurar nuestras políticas de privacidad y avisos explican claramente el compromiso de Butterfly con el RGPD y los derechos que los individuos tienen con respecto a sus datos. Puede revisar el Aviso de privacidad de Butterflyaquí.
  • Formalizar nuestros procesos sobre los derechos de los titulares de los datos para asegurarnos que podemos ayudar de forma más eficaz a nuestros clientes a responder a las solicitudes de los titulares de los datos.
  • Garantizar el uso de medidas de seguridad sólidas y adecuadas para proteger cualquier dato recopilado y procesado en sistemas que sean propiedad de Butterfly o estén gestionados por la empresa.
  • Llevar a cabo evaluaciones de impacto de protección de datos para identificar y minimizar los riesgos que puedan aparecer hacia la información sobre el paciente.
  • Llevar registros adecuados del tratamiento de la información personal que se lleve a cabo. 

Butterfly Network tiene un firme compromiso con el cumplimiento del RGPD y comprende la importancia del mismo para sus clientes. 

¿Cómo cumple Butterfly Network las leyes de exportación de datos de la UE?

La ley de protección de datos de la UE prohíbe la exportación de datos personales fuera del Espacio Económico Europeo («EEE») a destinatarios que no sean del EEE, a menos que haya determinadas medidas en vigor. 

Butterfly Network tiene su sede en Estados Unidos, aunque ofrece sus Servicios a clientes de todo el mundo, incluidos profesionales médicos que se encuentren en el EEE y Suiza. Por lo tanto, Butterfly procesará la información personal que se originen en el EEE y Suiza en sus servidores e instalaciones de Estados Unidos. 

Para asegurar el cumplimiento de las leyes de exportación de datos, Butterfly se ha autocertificado con el Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. para facilitar la transferencia legal de datos del EEE y Suiza a Butterfly para que se traten en Estados Unidos. Para más información sobre el Escudo de privacidad, visite www.privacyshield.gov, o si quiere ver nuestro Certificado, entre en https://www.privacyshield.gov/participant?id=a2zt00000008hnlAAA&status=Active.  

Además, cuando la transferencia no quede cubierta por el certificado de Escudo de privacidad de Butterfly, Butterfly acepta procesar los datos del EEE y Suiza según las cláusulas contractuales tipo de la UE (también llamadas «cláusulas tipo»). Se trata de términos de exportación de datos estándar que la Comisión Europea ha aprobado previamente y, al firmarlos, Butterfly se compromete a proteger los datos personales (incluida la Información sobre el paciente) que recibe de sus clientes de la UE según las normas de protección de datos de la UE.

¿Qué pasa con los terceros que trabajan con Butterfly?

Antes de contratar a un tercero que interactúe de alguna forma con Información sobre el paciente, Butterfly exige que dichos terceros pasen una evaluación de seguridad y de riesgos con el fin de asegurarse de que mantienen los mismos niveles de seguridad que Butterfly con respecto a la información personal.  Además, Butterfly se asegura de que estas empresas estén obligadas por contrato a implementar y mantener medidas de seguridad equivalentes para proteger la Información sobre el paciente. 

Nuestra lista actual de subencargados del tratamiento de la información es la siguiente pero, a medida que nuestro negocio crezca y evolucione, los subencargados del tratamiento de la información con los que colaboremos también pueden cambiar. Compruébela con frecuencia por si hubiera actualizaciones.

Nombre de la entidad

Corporativo
Ubicación
Amazon Web Services, Inc. (AWS)
EE. UU.
Asana
EE. UU.
Aptible, Inc.
EE. UU.
Auth0, Inc.
EE. UU.
Avalara, Inc.
EE. UU.
Celigo, Inc.
EE. UU.
DHL.
Mundial
Google LLC (con respecto a: G-Suite, plataforma de Google Cloud)
EE. UU.
Heap, Inc
EE. UU.
Hotjar, Ltd.
EE. UU.
LaunchDarkly
EE. UU.
New Relic, Inc.
EE. UU.
Oracle.
EE. UU.
Stitch Data.
EE. UU.
Saleforce.com, Inc.
EE. UU.
Segment.
EE. UU.
Slack Technologies, Inc.
EE. UU.
Splunk Inc.
EE. UU.
Stripe.
EE. UU.
Webflow.
EE. UU.
Zapier Inc.
EE. UU.
Zendesk, Inc.
EE. UU.

¿Es necesario avisar a los pacientes del procesado de datos por parte de Butterfly? 

Las leyes de protección de datos y privacidad de algunos países obligan a proporcionar a los pacientes información sobre cómo se usarán y compartirán sus datos, incluida la información sobre los destinatarios de esta información y sobre la agencia que los almacena.  En algunos casos, esto requiere una explicación del procesamiento de datos por parte de Butterfly. Si esto es un requisito en su jurisdicción, proporcione a los pacientes el Aviso de privacidad de pacientes de Butterfly para asegurarse de que comprenden cómo Butterfly puede procesar y utilizar su información personal en relación con los Servicios. 

‍¿Qué pasa si uno de mis pacientes me pide su Información sobre el paciente?

Ciertas leyes de privacidad (incluyendo el RGPD) otorgan a los pacientes el derecho de solicitar una copia de los datos que usted tiene sobre ellos. Esto podría denominarse "solicitud de acceso del interesado". Si un paciente realiza una solicitud de acceso a sus datos directamente a Butterfly, nosotros en nuestra capacidad de procesador le pasaremos la solicitud a usted tan pronto como sea posible y, si Butterfly tiene los datos solicitados, le proporcionaremos los datos relevantes del paciente conforme a nuestro contrato con usted. 

¿Pueden los pacientes pedir algo más?

Además del derecho a acceder a los datos que usted posee sobre ellos, los pacientes también pueden tener otros derechos en virtud de las leyes de protección de datos y de privacidad aplicables (como el RGPD en la UE). Estos derechos pueden incluir el derecho a la rectificación de datos inexactos o incompletos, a la eliminación de sus datos o a pedir que se dejen de procesar sus datos. Los pacientes también pueden pedirle que transfiera los datos que usted tiene sobre ellos a otro profesional médico. Si un paciente desea ejercer cualquiera de sus derechos en relación con sus datos de paciente, le proporcionaremos una ayuda razonable para facilitar su respuesta a dicha solicitud.  Si un paciente se pone en contacto con nosotros directamente para ejercer tales derechos, le pasaremos la solicitud a usted tan pronto como sea posible.  

¿Qué pasa con los registros que tiene Butterfly sobre los profesionales médicos?

Butterfly también recopila información personal sobre clientes y profesionales médicos para promocionar productos de Butterfly, asignarles una cuenta de Butterfly, tramitar pedidos y responder a consultas. Estos datos están protegidos por las mismas medidas de seguridad. Nuestro Aviso de privacidad contiene detalles sobre cómo Butterfly procesa los datos personales de los profesionales médicos y los derechos que estos tienen con respecto a ellos.

¿Dónde puedo obtener más información?

Si tiene alguna pregunta o necesita ayuda, póngase en contacto con dpo@butterflynetinc.com