Common use of Obligaciones del encargado del tratamiento Clause in Contracts

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. B. Tratar los datos de acuerdo con las instrucciones por escrito del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembrosmiembro, el encargado informará inmediatamente al responsable. b. C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas aha: a) La seudoanimización pseudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. dc) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros miembro que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. B. Tratar los datos de acuerdo con las instrucciones por escrito del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembrosmiembro, el encargado informará inmediatamente al responsable. b. C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización pseudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. dc) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros miembro que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento tratamiento, y todo su personal se obliga a: : a) Utilizar los datos personales objeto de del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con a las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembrosmiembro, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del de cada responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso su caso, de las transferencias indicadas en el artículo 49 apartado 149, párrafo segundo del RGPD, la documentación de garantías adecuadas, teniendo en cuenta, especialmente, el posible alojamiento de datos en servicios de computación en la nube (servicios cloud). 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) i. La seudoanimización seudonimización y el cifrado de datos personales. b) ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personaspersonas (incluidas las transferencias de datos personales a terceros países u organizaciones internacionales), salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. Para obtener la autorización del responsable del tratamiento para transferir datos personales a un tercer país o a una organización internacional, el encargado del tratamiento debe indicar los siguientes conceptos en la solicitud de autorización al responsable del tratamiento: 1. la entidad a la que se van a transferir los datos, 2. la finalidad de dicha transferencia, 3. la identificación de dicho tercer país u organización internacional, 4. la existencia o ausencia de una decisión de adecuación de la Comisión, o, 5. en el caso de las transferencias indicadas en los artículos 46, 47 o el artículo 49, apartado 1, párrafo segundo del RGPD, se debe hacer referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o acceso al texto y medios de formalización de estas garantías. El encargado del tratamiento no podrá transferir los datos hasta que reciba conformidad expresa por parte del responsable del tratamiento. Si se produce alguna variación posterior de los datos indicados en la solicitud, el encargado debe obtener de nuevo la autorización del responsable del tratamiento cursando una nueva solicitud de autorización. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembro que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que el Derecho lo prohíba por razones importantes de interés público. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. e) Se autoriza al encargado a subcontratar con consultores y auditores externos las prestaciones que comporten los tratamientos siguientes: servicios de consultoría, soporte y auditoría. Si Para subcontratar con otras empresas, el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecidode 30 días. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos personales a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición. 2. Limitación del tratamiento. 3. Portabilidad de los datos. 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección indicada por el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k) Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos. l) Notificación de violaciones de la seguridad de los datos: El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso, antes del plazo máximo de 72 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Esta comunicación se realizará de la siguiente forma: enviando un correo electrónico a la dirección que indique el responsable. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella, se facilitará, como mínimo, la información siguiente: 1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 2. El nombre y datos de contacto del delegado de protección de datos o del otro punto de contacto en el que pueda obtenerse más información.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e. Subcontratación. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamientotratamiento con- forme al contenido del convenio y a, en su caso, las instrucciones que el IAM le pueda especificar en concreto. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable respon- sable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional interna- cional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas rela- tivas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia resi- liencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.. csv: BOA20200228008 c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa ex- presa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado en- cargado puede comunicar los datos a otros encargados del tratamiento del mismo responsableres- ponsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e) No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio acuerdo que comporten el tratamiento de datos personales, salvo . f) Xxxxxxxx el deber xx xxxxxxx respecto a los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse carácter personal a cabo si el responsable no manifiesta su oposición los que haya tenido acceso en el plazo establecido. El subcontratistavirtud del presente encargo, que también tendrá incluso después de la condición finalización de encargado la vigencia del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesconvenio. e. g) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad confidencia- lidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles debe infor- xxxxxx convenientemente. h) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elabo- ración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supre- sión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección: xxx@xxxxxx.xx. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud (plazo y medio recomendado a fin de que el responsable pueda resolver la solicitud dentro del plazo establecido), junta- mente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k) Derecho de información. El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos. l) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación inde- bida, y en cualquier caso antes del plazo máximo de 24 horas a través de correo elec- trónico las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documenta- ción y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la se- guridad constituya un riesgo para los derechos y las libertades de las personas físicas. m) Si se dispone de ella se facilitará, como mínimo, la información siguiente: 1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de intere- sados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: contratista que está obligado a respetar la normativa vigente en materia de protección de datos, tendrá así mismo las siguientes obligaciones: A) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusióndurante la prestación del contrato, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines distintos o fines propios. a. B) Tratar los datos de acuerdo con el presente Acuerdo y las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones recibidas infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.o b. C) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad seguridad, previa realización de un análisis de riesgos, relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Asimismo, colaborará con el responsable del tratamiento para la identificación de la información que debe incluirse en su Registro de Actividades de Tratamiento en aquellos supuestos en los que el encargado trate los datos en sus locales y exclusivamente con sus sistemas de información. c. D) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, internacional en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E) Subcontratación: No estará permitida la subcontratación del tratamiento de datos personales en el caso de que este tratamiento haya sido definido expresamente como una tarea crítica que no admite subcontratación, y así se haya señalado en el Apartado correspondiente del cuadro-resumen cuando el tratamiento sea inherente a una prestación definida como tarea crítica que no admite subcontratación. En otro caso, se autoriza al encargado principal (adjudicatario del contrato) a subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalespersonales cuando sea inherente a una prestación parcial objeto de subcontratación. Para subcontratar el tratamiento de datos personales con otras empresas, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios encargado del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y tratamiento debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el , siendo necesario contar con la aprobación escrita del responsable no manifiesta su oposición en el plazo establecidodel tratamiento para efectuar la subcontratación. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial principal regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub- encargado, el encargado inicial principal seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesobligaciones de aquél. e. F) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. G) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales personales, se comprometan, comprometen de forma expresa y por escrito, escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que debe informarles convenientemente. H) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. I) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales. J) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas. K) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, a través del correo electrónico de la unidad responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia L) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. M) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. N) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el responsable u otro auditor autorizado por él.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: contratista que está obligado a respetar la normativa vigente en materia de protección de datos, tendrá así mismo las siguientes obligaciones: A) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusióndurante la prestación del contrato, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines distintos o fines propios. a. B) Tratar los datos de acuerdo con el presente Acuerdo y las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones recibidas infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. C) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad seguridad, previa realización de un análisis de riesgos, relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Asimismo, colaborará con el responsable del tratamiento para la identificación de la información que debe incluirse en su Registro de Actividades de Tratamiento en aquellos supuestos en los que el encargado trate los datos en sus locales y exclusivamente con sus sistemas de información. c. D) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, internacional en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E) Subcontratación: No estará permitida la subcontratación del tratamiento de datos personales en el caso de que este tratamiento haya sido definido expresamente como una tarea crítica que no admite subcontratación, y así se haya señalado en el Apartado correspondiente del cuadro-resumen cuando el tratamiento sea inherente a una prestación definida como tarea crítica que no admite subcontratación. En otro caso, se autoriza al encargado principal (adjudicatario del contrato) a subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalespersonales cuando sea inherente a una prestación parcial objeto de subcontratación. Para subcontratar el tratamiento de datos personales con otras empresas, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios encargado del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y tratamiento debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el , siendo necesario contar con la aprobación escrita del responsable no manifiesta su oposición en el plazo establecidodel tratamiento para efectuar la subcontratación. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial principal regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub- encargado, el encargado inicial principal seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesobligaciones de aquél. e. F) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. G) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales personales, se comprometan, comprometen de forma expresa y por escrito, escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que debe informarles convenientemente. H) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. I) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales. J) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas. K) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, a través del correo electrónico de la unidad responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia L) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. M) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. N) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el responsable u otro auditor autorizado por él.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Presentar una declaración previa, antes de la formalización del contrato, en la que ponga de manifiesto donde van a estar ubicados los servidores y desde donde se van a prestar los servicios asociados a los mismos. Asimismo, estará obligado a comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración. b. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. c. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. d. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, y en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El proveedor o la contraparte, en su calidad de encargado del tratamiento tratamiento, y todo su personal se obliga obligan a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja se recojan para su inclusión, sólo solo para la finalidad objeto de este encargo. En ningún caso podrá pueden utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamientode la UOC. Si el encargado del tratamiento proveedor considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos datos, informará de ello inmediatamente a la Unión o de los Estados miembros, el encargado informará inmediatamente al responsableUOC. b. Llevar, c) Llevar por escrito, escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, de la UOC que contenga: 1. El nombre y los Los datos de contacto del proveedor como encargado o encargados del tratamiento y de cada la UOC como responsable por cuenta del cual actúe el encargado tratamiento y, en su caso, del representante del responsable encargado o del encargado responsable y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsablela UOC. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: ai) La seudoanimización pseudonimización y el cifrado de datos personales. bii) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. ciii) La capacidad de restaurar rápidamente la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. div) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos personales a terceras personas, salvo a menos que cuente con la autorización expresa del responsable del tratamiento, de la UOC en los supuestos legalmente admisiblesadmisibles legalmente. El encargado proveedor puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de la UOC de acuerdo con las instrucciones del responsablede esta universidad. En este caso, el responsable la UOC identificará, de forma previa previamente y por escrito, los datos personales, la entidad a la que se deben comunicar los datos, los datos a comunicar comunicarán y las medidas de seguridad a aplicar que se aplicarán para proceder a la comunicación. Si el encargado debe proveedor tuviese que transferir datos personales a un tercer país tercero o a una organización internacional, internacional en virtud de una disposición que le sea aplicable del Derecho derecho de la Unión o de los Estados miembros que le sean aplicablealguno de sus estados miembros, informará al responsable el proveedor deberá informar previamente a la UOC de esa esta exigencia legal de manera previalegal, salvo que tal Derecho este derecho lo prohíba prohibiera por razones importantes de interés público. d. e) No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio del presente contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el funcionamiento normal funcionamiento de los servicios del encargadoproveedor. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar comunicarse previamente y por escrito al responsablea la UOC, con una antelación de quince días un mes, indicando los tratamientos que se pretende quieren subcontratar e identificando de forma clara e inequívoca inequívocamente la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está igualmente obligado igualmente a cumplir las obligaciones establecidas en este el presente documento para el encargado del tratamiento y proveedor, así como las instrucciones que dicte el responsablela UOC. Corresponde al encargado inicial regular la nueva relación de forma manera que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…, etc.) y con los mismos requisitos formales que él, él en lo referente cuanto al tratamiento adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá proveedor sigue siendo plenamente responsable ante el responsable en lo referente al del cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El Según lo establecido en la normativa vigente en materia de Protección de Datos de Carácter Personal, el encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembrosdatos, el encargado informará inmediatamente al responsable. b. Llevarc) Adoptar todas las medidas técnicas y organizativas necesarias para la protección de los datos personales en sus propios centros y sistemas de tratamiento que sean suficientes para garantizar un nivel de seguridad adecuado al riesgo del tratamiento y, en particular, las siguientes: - llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y incluya los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas requisitos establecidos en el artículo 49 apartado 1, párrafo segundo del 32.1 RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico., d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. No comunicar o ceder los datos a terceras personas, ni siquiera para su conservación, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e) No subcontratar ninguna de las prestaciones que formen forman parte del objeto de este convenio contrato y que comporten el tratamiento de los datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho tratamiento se deberá comunicar previamente y por escrito al responsable, responsable con una antelación mínima de quince 30 días hábiles, indicando los tratamientos que se pretende pretendan subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo efecto si el responsable no manifiesta su oposición posición en el plazo establecido. El subcontratistaEn tal caso, que el subcontratista tendrá también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir con las mismas obligaciones establecidas en este documento para el encargado y responsabilidades que éste y sin perjuicio de la plena responsabilidad del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesincumplimiento. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableresponsable (si procede indicar “que en el presente contrato constituye una condición especial de ejecución, conforme al anexo ….del PCAP”), que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna e. Subcontratación (Escoger una de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.opciones): 25/09/2023

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios, ni con otra finalidad distinta a la prestación del servicio que se describe en el apartado anterior “Objeto del Encargo del tratamiento”. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsabledel Encargado. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No e. Se autoriza GOLTRATEC, S.L. a subcontratar ninguna con terceras empresas proveedoras de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalesALOJAMIENTO/ALMACENAMIENTO DE DATOS EN SUS SERVIDORES. GOLTRATEC, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y S.L. comunicará por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecidoxx XXXX (10) DÍAS. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que que, conforme al servicio contratado, dicte de forma lógica el responsable. Corresponde al encargado GOLTRATEC, S.L. inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición 2. Limitación del tratamiento 3. Portabilidad de datos 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico, a la dirección facilitada por el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. : - El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. - En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. - Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) : · La seudoanimización seudonimización y el cifrado de datos personales. b) , en su caso. · La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) . · La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) . · El proceso de verificación, evaluación y valoración regulares de la dela eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No e) Subcontratación Se autoriza al encargado a subcontratar ninguna de con la empresa con CIF las prestaciones que formen parte del objeto de este convenio que comporten los tratamientos siguientes: , para los datos personales recogidos en los ficheros: Para subcontratar con otras empresas, el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y encargado debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecidode 10 días. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición 2. Limitación del tratamiento 3. Portabilidad de datos 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección xxxxxxx@xxxxxxxx-xx.xxx. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k) Obligación de informar Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos. l) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes de 72 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. o) Xxxxx disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. p) Implantar las medidas de seguridad. En todo caso, deberá implantar mecanismos para: 1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. 2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. 3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. 4. Seudonimizar y cifrar los datos personales, en su caso. q) Designar un delegado de protección de datos si procede y comunicar su identidad y datos de contacto al responsable.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamientode SCPSA. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsablea SCPSA. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsablede SCPSA, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe actué el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) a. La seudoanimización y el cifrado de datos personales. b) b. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) d. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamientode SCPSA, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsablede SCPSA, de acuerdo con las instrucciones del responsable. En este caso, el responsable SCPSA identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable a SCPSA de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e) No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsablea SCPSA, con una antelación de quince días un mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable SCPSA no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá tendrá́ la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsableSCPSA. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…...) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable SCPSA en lo referente al cumplimiento de las obligaciones. e. f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h) Mantener a disposición de SCPSA la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir a SCPSA en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición. 2. Limitación del tratamiento. 3. Portabilidad de datos. 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección XxxxxxxxxxXxxxx@xxx.xx de SCPSA. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k) Derecho de información El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con SCPSA antes del inicio de la recogida de los datos. l) Notificación de violaciones de la seguridad de los datos El encargado del tratamiento notificará a SCPSA, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas y a través del correo XxxxxxxxxxXxxxx@xxx.xx, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente: a. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo: 1. Explicar la naturaleza de la violación de datos. 2. Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. 3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales. 4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. m) Dar apoyo a SCPSA en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. n) Dar apoyo a SCPSA en la realización de las consultas previas a la autoridad de control, cuando proceda. o) Poner a disposición de SCPSA toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen SCPSA u otro auditor autorizado por él. p) Implantar las medidas de seguridad siguientes medidas de seguridad que permitan: 1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. 2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. 3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. 4. Seudonimizar y cifrar los datos personales, en su caso. q) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable. r) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado a SCPSA. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableresponsable (si procede indicar “que en el presente contrato constituye una condición especial de ejecución, conforme al anexo ….del PCAP”), que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna e. Subcontratación (Escoger una de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.opciones):

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) : - La seudoanimización seudonimización y el cifrado de datos personales. b) . - La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) . - La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) . - El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión Europea o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. tratamiento conforme al contenido del Programa de actividades sociodeportivas para los usuarios/as del Centro de Acogida de la Red de Personas Sin Hogar Xxxx Xxxx Xxxxx, Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) : • La seudoanimización seudonimización y el cifrado de datos personales. b) . • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) . • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) . • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna e) Subcontratación: f) Mantener el deber xx xxxxxxx respecto a los datos de carácter personal hechos, informaciones, conocimientos, documentos y otros elementos a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto, sin que pueda conservar copia o utilizarlos para cualquier finalidad distinta a las prestaciones expresamente recogidas en el presente pliego, incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente. Igualmente, deberá informar a sus empleados de que formen parte sólo pueden tratar la información del Ayuntamiento para cumplir los servicios objeto de este pliego y también de la obligación de no hacer públicos, ceder o enajenar cuantos datos conozcan. Esta obligación subsistirá aún después de la finalización del convenio La entidad adjudicataria deberá formar e informar a su personal de las obligaciones que comporten el tratamiento en materia de protección de datos personalessean necesarias cumplir en el desarrollo de sus tareas para la prestación del convenio, salvo los servicios auxiliares necesarios para el normal funcionamiento en especial las derivadas del deber xx xxxxxxx, respondiendo la empresa adjudicataria personalmente de las infracciones legales en que por incumplimiento de sus empleados se pudiera incurrir. El adjudicatario y su personal, durante la realización de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado presten como consecuencia del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado cumplimiento del tratamiento y las instrucciones que dicte el responsable. Corresponde convenio estarán sujetos al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento estricto cumplimiento de los datos personales y a la garantía documentos de los derechos seguridad de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable dependencias municipales en lo referente al cumplimiento de las obligacionesque se desarrolle su trabajo. e. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. (Si existe una obligación de confidencialidad de naturaleza estatutaria deberá quedar constancia expresa de la naturaleza y extensión de esta obligación.) Deberá incluir una cláusula de confidencialidad y secreto en los términos descritos en los contratos laborales que suscriban los trabajadores destinados a la prestación del servicio objeto del presente pliego. Dicho compromiso afecta tanto a la Fundación Real Madrid, adjudicataria como a los participantes y colaboradores en el proyecto y se entiende circunscrito tanto al ámbito interno de la empresa como al ámbito externo de la misma. El Ayuntamiento de Madrid se reserva el derecho al ejercicio de las acciones legales oportunas en caso de que bajo su criterio se produzca un incumplimiento de dicho compromiso. h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición 2. Limitación del tratamiento 3. Portabilidad de datos 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección xxxxxxxxxxx@xxxxxx.xx y/o xxxxxxxxxxxxxxxxxxx@xxxxxx.xx . La comunicación debe hacerse de forma k) Derecho de información l) Notificaciones de violaciones de la seguridad de los datos El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas y a través de email o cualquier otro medio que garantice la notificación, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Corresponde al encargado del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos. La comunicación contendrá, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. o) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. p) Asistir al responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del Reglamento (UE) 2016/679, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado. q) Así mismo informará inmediatamente al responsable del tratamiento si una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros. r) Implantar Las medidas de seguridad establecidas en el Tratamiento de Datos de RMI para personas sin Hogar. En todo caso, deberá implantar mecanismos para: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Xxxxxxxxxxxx y cifrar los datos personales, en su caso. La Fundación Real Madrid, al igual que su personal, se someterá a las normas de seguridad vigentes en el Ayuntamiento de Madrid para cada uno de los ficheros a los que tengan acceso, e igualmente a las especificaciones e instrucciones de los responsables de seguridad en materia de protección de datos de cada una de las dependencias municipales afectadas. Los diseños, desarrollos o mantenimientos de software deberán, con carácter general, observar los estándares que se deriven de la normativa de seguridad de la información y de protección de datos Aportará una memoria descriptiva de las medidas que adoptará para garantizar la seguridad, confidencialidad e integridad de los datos manejados y de la documentación facilitada. Asimismo, el adjudicatario deberá informar al organismo contratante, antes de transcurridos siete días de la fecha de comunicación de la adjudicación, la persona que será directamente responsable de la puesta en práctica y de la inspección de dichas medidas de seguridad, adjuntando su perfil profesional. s) Propiedad de los datos Todos los datos personales que se traten o elaboren por la Fundación Real Madrid como consecuencia de la prestación del servicio, así como los soportes del tipo que sean en los que se contengan son propiedad del Ayuntamiento de Madrid. En la medida que la Fundación Real Madrid aporta equipos informáticos para la prestación del servicio objeto delconvenio, una vez finalizadas las tareas, el adjudicatario previamente a retirar los equipos informáticos, deberá borrar toda la información utilizada o que se derive de la ejecución del programa, mediante el procedimiento técnico adecuado, o proceder a su entrega al responsable del fichero. La destrucción de la documentación de apoyo, si no se considerara indispensable por el Ayuntamiento habiéndolo comunicado por escrito, se efectuará mediante máquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, efectuándose esta operación en el lugar donde se realicen los trabajos. Igualmente, deberá adoptar las medidas necesarias para impedir la recuperación posterior de información almacenada en soportes que vayan a ser desechados o reutilizados. t) Destino de los datos al finalizar el Convenio. Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación. u) El Ayuntamiento de Madrid se reserva el derecho de efectuar en cualquier momento los controles y auditorías que estime oportunos para comprobar el correcto cumplimiento por parte del adjudicatario de sus obligaciones, el cual está obligado a facilitarle cuantos datos o documentos le requiera para ello. v) El incumplimiento por parte del adjudicatario de las estipulaciones del presente acuerdo lo convierten en responsable del tratamiento respondiendo directamente de las infracciones en que hubiera incurrido, así como del pago del importe íntegro de cualquier sanción que, en materia de protección de datos de carácter personal, pudiera ser impuesta al Ayuntamiento de Madrid, así como de la totalidad de los gastos, daños y perjuicios que sufra el Ayuntamiento de Madrid como consecuencia de dicho incumplimiento. La Fundación Real Madrid que suscribe un Convenio de Colaboración con el Ayuntamiento de Madrid para el desarrollo de Programas Sociodeportivos para la Inclusión Social y personas y colectivos en situación de vulnerabilidad o exclusión social, y el personal a su servicio en la prestación del Programa del Convenio,, tal y como se define en el artículo 4.8) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, están obligados en su calidad de encargados de tratamiento de datos personales por cuenta de la Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, responsable del tratamiento, al cumplimiento de lo dispuesto en dicho Reglamento, así como de las disposiciones que en materia de protección de datos se encuentren en vigor a la adjudicación del contrato o que puedan estarlo durante su vigencia.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. B. Tratar los datos de acuerdo con las instrucciones por escrito del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembrosmiembro, el encargado informará inmediatamente al responsableresponsable antes de proceder al tratamiento. En caso de que el responsable del tratamiento decida modificar las instrucciones existentes o añadir unas nuevas, dichos cambios se llevarán a cabo mediante la incorporación de anexos al presente contrato. b. C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización pseudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. dc) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E. Subcontratación No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince cinco días hábiles, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, mediante un acuerdo por escrito, de forma que el nuevo encargado quede sujeto a a, materialmente, las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub encargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamientotratamiento conforme al contenido del convenio y a, en su caso, las instrucciones que el IAM le pueda especificar en concreto. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:: csv: BOA20210914014 a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e) No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio acuerdo que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: A) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusióndurante la prestación del contrato, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines distintos o fines propios. a. B) Tratar los datos de acuerdo con el presente Acuerdo y las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones recibidas infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. C) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Asimismo, colaborará con el responsable del tratamiento para la identificación de la información que debe incluirse en su Registro de Actividades de Tratamiento en aquellos supuestos en los que el encargado trate los datos en sus locales y exclusivamente con sus sistemas de información. c. D) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, internacional en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E) Subcontratación No estará permitida la subcontratación del tratamiento de datos personales en el caso de que este tratamiento haya sido definido expresamente como una tarea crítica que no admite subcontratación, y así se haya señalado en el Apartado S del cuadro-resumen y en el Anexo VII del presente PCAP, o cuando el tratamiento sea inherente a una prestación definida como tarea crítica que no admite subcontratación. En otro caso, se autoriza al encargado principal (adjudicatario del contrato) a subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalespersonales cuando sea inherente a una prestación parcial objeto de subcontratación. Para subcontratar el tratamiento de datos personales con otras empresas, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios encargado del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y tratamiento debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el , siendo necesario contar con la aprobación escrita del responsable no manifiesta su oposición en el plazo establecidodel tratamiento para efectuar la subcontratación. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial principal regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub-encargado, el encargado inicial principal seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesobligaciones de aquél. e. F) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. G) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales personales, se comprometan, comprometen de forma expresa y por escrito, escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que debe informarles convenientemente. H) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. I) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales. J) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles), de la siguiente forma: K) Derecho de información. L) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, a través del correo electrónico de la unidad responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Si se dispone de ella se facilitará, como mínimo, la información siguiente: 1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. c.1) El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. c.2) Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. c.3) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. c.4) Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: ac.4.1) La seudoanimización seudoanonimización y el cifrado de datos personales. bc.4.2) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. cc.4.3) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. dc.4.4) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e) No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días 30 días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: j.1) Acceso, rectificación, supresión y oposición. j.2) Limitación del tratamiento. j.3) Portabilidad de datos. j.4) A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección indicada por el RESPONSABLE en el pie del presente contrato. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k) Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos. l) El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente: l.1) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. l.2) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. l.3) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. l.4) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo: l.5) Explicar la naturaleza de la violación de datos. l.6) Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. l.7) Describir las posibles consecuencias de la violación de la seguridad de los datos personales. m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. o) Xxxxx disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. p) Implantar las medidas de seguridad necesarias para: p.1) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. p.2) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. p.3) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. p.4) Seudoanonimizar y cifrar los datos personales, en su caso. q) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable, siempre y cuando ello sea obligatorio en virtud de lo establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos. r) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. Llevar, c. Llevar por escrito, escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, responsable que contenga: 1. : - El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. - Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. - En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. - Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) : o La seudoanimización y el cifrado de datos personales. b) . o La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) . o La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) . o El proceso de verificación, evaluación evaluación, y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los las que recoja para su inclusión, sólo únicamente para la finalidad objeto de este encargo. En ningún caso podrá puede utilizar los datos para fines propios. a. Tratar b) Procesar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados estados miembros, el encargado informará debe informar inmediatamente al responsable. b. Llevar, c) Llevar por escrito, escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contengaincluya: 1. El nombre y los datos de contacto del encargado o de los encargados y de cada responsable por cuenta del cual actúe en cuyo nombre actúa el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer este país u o esta organización internacional yinternacional, y en el caso de las transferencias indicadas en el artículo 49 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) : • La seudoanimización seudonimización y el cifrado de datos personales. b) . • La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanentes de los sistemas y servicios de tratamiento. c) . • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) . • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar que garantizan la seguridad eficacia del tratamiento. c. d) No comunicar los datos a terceras personas, salvo exceptuando que cuente con tenga la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo propio responsable, de acuerdo con las instrucciones del responsablede este. En este caso, el responsable identificarádebe identificar, de forma previa previamente y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder llevar a cabo la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho derecho de la Unión o de los Estados estados miembros que le sean sea aplicable, informará debe informar al responsable de esa esta exigencia legal de manera previa, salvo que tal Derecho este derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. e) Subcontratación Si fuera es necesario subcontratar algún tratamiento, este hecho se deberá comunicar debe comunicarse previamente y por escrito al responsable, con una antelación de quince días indicando 15 días. Es necesario especificar los tratamientos que se pretende subcontratar (específicamente los servidores o los servicios asociados a los mismos) e identificando identificar de forma clara e inequívoca a la empresa subcontratista (nombre o el perfil empresarial) y sus datos de contacto, así como donde se encuentran sus servidores o los servicios asociados a los mismos. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en que este documento establece para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma manera que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…...) y con los mismos requisitos formales que él, en lo referente cuanto al tratamiento adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En Si el caso de incumplimiento por parte del subencargadosubencargado lo incumple, el encargado inicial seguirá sigue siendo plenamente responsable ante el la responsable en lo referente cuanto al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: A) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusióndurante la prestación del contrato, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines distintos o fines propios. a. B) Tratar los datos de acuerdo con el presente Acuerdo y las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones recibidas infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. C) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Asimismo, colaborará con el responsable del tratamiento para la identificación de la información que debe incluirse en su Registro de Actividades de Tratamiento en aquellos supuestos en los que el encargado trate los datos en sus locales y exclusivamente con sus sistemas de información. c. D) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, internacional en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E) Subcontratación No estará permitida la subcontratación del tratamiento de datos personales en el caso de que este tratamiento haya sido definido expresamente como una tarea crítica que no admite subcontratación, y así se haya señalado en el Apartado N del cuadro-resumen y en el Anexo VII del presente PCAP, o cuando el tratamiento sea inherente a una prestación definida como tarea crítica que no admite subcontratación. En otro caso, se autoriza al encargado principal (adjudicatario del contrato) a subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalespersonales cuando sea inherente a una prestación parcial objeto de subcontratación. Para subcontratar el tratamiento de datos personales con otras empresas, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios encargado del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y tratamiento debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el , siendo necesario contar con la aprobación escrita del responsable no manifiesta su oposición en el plazo establecidodel tratamiento para efectuar la subcontratación. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial principal regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub-encargado, el encargado inicial principal seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesobligaciones de aquél. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable Responsable del tratamientoTratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) a. La seudoanimización seudonimización y el cifrado de datos personales. b) b. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) d. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No e. Subcontratación El encargado de tratamiento no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días 15 días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…...) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamientotratamiento conforme al contenido de este pliego de prescripciones técnicas y a, en su caso, las instrucciones que el Distrito xx Xxxxxxxxx le pueda especificar en concreto y que se incluirían como una Adenda al presente contrato. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) : • La seudoanimización seudonimización y el cifrado de datos personales. b) . • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) . • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) . • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e) Subcontratación: No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días un mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…...) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub-encargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Obligaciones del encargado del tratamiento. El encargado del tratamiento Tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento Tratamiento considera que alguna de las instrucciones infringe el RGPD Reglamento General de Protección de Datos o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados estados miembros, el encargado del Tratamiento informará inmediatamente al responsableresponsable del Tratamiento. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableresponsable del tratamiento, que contenga: 1. El nombre y los datos de contacto del encargado del Tratamiento o encargados y de cada responsable por cuya cuenta del cual actúe el encargado del Tratamiento y, en su caso, del representante del responsable del tratamiento o del encargado del Tratamiento y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su Si es el caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho del mencionado tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas., 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo a menos que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, Subcontratación [Escoger una de las que hay que informarles convenientemente.opciones]

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro registro2 de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. e. Subcontratación Opción A No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.contrato que

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: contratista que está obligado a respetar la normativa vigente en materia de protección de datos, tendrá así mismo las siguientes obligaciones: A) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusióndurante la prestación del contrato, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines distintos o fines propios. a. B) Tratar los datos de acuerdo con el presente Acuerdo y las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones recibidas infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. C) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad seguridad, previa realización de un análisis de riesgos, relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Asimismo, colaborará con el responsable del tratamiento para la identificación de la información que debe incluirse en su Registro de Actividades de Tratamiento en aquellos supuestos en los que el encargado trate los datos en sus locales y exclusivamente con sus sistemas de información. c. D) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, internacional en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E) Subcontratación: No estará permitida la subcontratación del tratamiento de datos personales en el caso de que este tratamiento haya sido definido expresamente como una tarea crítica que no admite subcontratación, y así se haya señalado en el Apartado correspondiente del cuadro- resumen cuando el tratamiento sea inherente a una prestación definida como tarea crítica que no admite subcontratación. En otro caso, se autoriza al encargado principal (adjudicatario del contrato) a subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalespersonales cuando sea inherente a una prestación parcial objeto de subcontratación. Para subcontratar el tratamiento de datos personales con otras empresas, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios encargado del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y tratamiento debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el , siendo necesario contar con la aprobación escrita del responsable no manifiesta su oposición en el plazo establecidodel tratamiento para efectuar la subcontratación. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial principal regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub-encargado, el encargado inicial principal seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesobligaciones de aquél. e. F) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. G) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales personales, se comprometan, comprometen de forma expresa y por escrito, escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que debe informarles convenientemente. H) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. I) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales. J) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas. K) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, a través del correo electrónico de la unidad responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. L) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. M) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. N) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el responsable u otro auditor autorizado por él. Ñ) Implantar las medidas de seguridad siguientes: En todo caso, el encargado deberá adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el alcance, contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Medidas de seguridad mínimas exigidas al adjudicatario: - Realizar una evaluación de riesgos. - Seudonimizar y cifrar los datos personales, en su caso. - Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. - Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. - Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. - De conformidad con lo establecido en el artículo 32.3 del RGPD, en el caso de que el encargado del tratamiento esté adherido a un código de conducta aprobado a tenor del artículo 40 del citado Reglamento o a un mecanismo de certificación aprobado a tenor del artículo 42 del mismo, podrá servir de elemento para demostrar el cumplimiento de los requisitos relativos a la implantación de las medidas de seguridad, siempre que así lo considere el responsable en función de las medidas de seguridad necesarias en cada caso. O) Designar un delegado de protección de datos en los casos previstos en el artículo 37 del RGPD y en el artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos P) Ubicación de los servidores. Q) Disposición de los datos personales al terminar el contrato.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento Tratamiento y todo su personal se obliga a: : 1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. 2. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. 3. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. A. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos, en su caso. 2. B. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. C. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo art. 49.1.2 del RGPD, la documentación de garantías adecuadas. 4. A. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización pseudonimización y el cifrado de datos personales, si fuera necesario. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. 4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. 5. Si Condiciones para recurrir a otro encargado del tratamiento 6. Mantener el encargado debe transferir deber xx xxxxxxx respecto a los datos personales a un tercer país o a una organización internacional, los que haya tenido acceso en virtud del Derecho presente encargo, incluso después de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés públicofinalice su objeto. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado7. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. 8. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. 9. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. 10. Asistir al responsable del tratamiento, en su caso, en la respuesta al ejercicio de los derechos de: a) Acceso, rectificación, supresión y oposición. b) Limitación del tratamiento. c) Portabilidad de datos. d) A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste deberá comunicarlo por correo electrónico a la dirección facilitada a tal efecto por el Responsable de Tratamiento. 11. Notificación de violaciones de la seguridad de los datos. a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. A tal efecto consta designada la siguiente dirección: mailto:XX_xxx@xxxxx.xxx c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Si durante la prestación del servicio con acceso a datos se produjera una violación de seguridad, corresponde al responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos. Si durante la prestación del servicio con acceso a datos se produjera una violación de seguridad, corresponde al responsable del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. 12. El encargado del tratamiento se obliga a poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

Obligaciones del encargado del tratamiento. El encargado del tratamiento tratamiento, y todo su personal se obliga a: : a) Utilizar los datos personales objeto de del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b) Tratar los datos de acuerdo con a las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del de cada responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso su caso, de las transferencias indicadas en el artículo 49 apartado 149, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) i. La seudoanimización seudonimización y el cifrado de datos personales. b) ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros miembro que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal el Derecho lo prohíba por razones importantes de interés público. d. e) No se autoriza al encargado para subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio contrato y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días 30 días, indicando los tratamientos que se pretende pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición. 2. Limitación del tratamiento. 3. Portabilidad de los datos. 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección xxxx@xxxxxxxxx.xxx. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k) Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos. l) Notificación de violaciones de la seguridad de los datos: El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso, antes del plazo máximo de 24 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Esta comunicación se realizará de la siguiente forma: Enviando un correo electrónico al responsable. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella, se facilitará, como mínimo, la información siguiente: 1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 2. El nombre y datos de contacto del delegado de protección de datos o del otro punto de contacto en el que pueda obtenerse más información.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: contratista que está obligado a respetar la normativa vigente en materia de protección de datos, tendrá así mismo las siguientes obligaciones: A) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusióndurante la prestación del contrato, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines distintos o fines propios. a. B) Tratar los datos de acuerdo con el presente Acuerdo y las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones recibidas infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.o b. C) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad seguridad, previa realización de un análisis de riesgos, relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Asimismo, colaborará con el responsable del tratamiento para la identificación de la información que debe incluirse en su Registro de Actividades de Tratamiento en aquellos supuestos en los que el encargado trate los datos en sus locales y exclusivamente con sus sistemas de información. c. D) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, internacional en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. E) Subcontratación: No estará permitida la subcontratación del tratamiento de datos personales en el caso de que este tratamiento haya sido definido expresamente como una tarea crítica que no admite subcontratación, y así se haya señalado en el Apartado correspondiente del cuadro-resumen cuando el tratamiento sea inherente a una prestación definida como tarea crítica que no admite subcontratación. En otro caso, se autoriza al encargado principal (adjudicatario del contrato) a subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personalespersonales cuando sea inherente a una prestación parcial objeto de subcontratación. Para subcontratar el tratamiento de datos personales con otras empresas, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios encargado del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y tratamiento debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el , siendo necesario contar con la aprobación escrita del responsable no manifiesta su oposición en el plazo establecidodel tratamiento para efectuar la subcontratación. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial principal regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub- encargado, el encargado inicial principal seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesobligaciones de aquél. e. F) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. G) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales personales, se comprometan, comprometen de forma expresa y por escrito, escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que debe informarles convenientemente. H) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. I) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableresponsable (si procede indicar “que en el presente contrato constituye una condición especial de ejecución, conforme al anexo ….del PCAP”), que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.Subcontratación

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: : a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. a. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La seudoanimización seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. d. No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten e. Subcontratación: Si está permitida la subcontratación en el PCAP, y esta conlleva el tratamiento de datos personalesde carácter personal, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y encargado debe comunicarlo por escrito al responsable, con una antelación de quince días indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecidolo autoriza. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. Tanto el encargado como el subencargado del tratamiento, deben mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. e. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.