Common use of Obligaciones del encargado del tratamiento Clause in Contracts

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. En el supuesto de que el encargado del tratamiento considere que alguna de las instrucciones infringe cualquier normativa relativa a la protección de datos, informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa de protección de datos vigente. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: a. A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. B. Tratar los datos de acuerdo con las instrucciones por escrito del responsable del tratamiento. En el supuesto de que Si el encargado del tratamiento considere considera que alguna de las instrucciones infringe el RGPD o cualquier normativa relativa a la otra disposición en materia de protección de datosdatos de la Unión Europea o de los Estados miembro, el encargado informará inmediatamente al responsableresponsable antes de proceder al tratamiento. En caso de que el responsable del tratamiento decida modificar las instrucciones existentes o añadir unas nuevas, dichos cambios se llevarán a cabo mediante la incorporación de anexos al presente contrato. c. Cuando así lo determine la normativa relativa a la protección de datosC. Llevar, llevar por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias contenga: 1. El nombre y los datos de la normativa contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos vigentedatos. d. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. 4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: a) La pseudonimización y el cifrado de datos personales b) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico c) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. D. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir El encargado puede comunicar los datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable otros encargados del tratamiento del mismo responsable, de esa exigencia legal acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de manera previaforma previa y por escrito, salvo la entidad a la que tal Derecho lo prohíba por razones importantes se deben comunicar los datos, los datos a comunicar y las medidas de interés públicoseguridad a aplicar para proceder a la comunicación. e. E. Subcontratación No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridadencargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mescinco días hábiles, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, mediante un acuerdo por escrito, de forma que el nuevo encargado quede sujeto a a, materialmente, las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargadosub encargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado . No obstante lo anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia Fundación ONCE autoriza expresamente a EL PROVEEDOR la colaboración de las medidas técnicas WEBER SHANDWICK BELGIUM, división comercial de CMGRP BELGIUM SCRL y organizativas implantadas empresa del grupo Interpublic Group Inc al que también pertenece EL PROVEEDOR, para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestaciónlos servicios objeto del presente contrato.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento y todo su personal se obliga a: a. Utilizar tratamiento, en relación con los datos personales Personales que sean objeto de tratamiento, o se obliga a lo siguiente: a) Utilizar los que recoja para su inclusión, sólo Datos Personales objeto de tratamiento exclusivamente para la finalidad de prestar los servicios objeto de este encargo. En ningún caso podrá utilizar los datos para fines propiosdel contrato, quedando expresamente prohibida su utilización con cualquier otra finalidad. b. b) Tratar los datos personales de acuerdo con a las instrucciones del responsable del tratamientodocumentadas que le sean transmitidas por el Responsable. En Si el supuesto de que el encargado Encargado del tratamiento considere considera que alguna de las instrucciones infringe cualquier la normativa relativa a la protección de datosaplicable, informará inmediatamente sin dilación al responsableResponsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa de protección de datos vigente. d. c) No comunicar los datos personales a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamientoResponsable, en los supuestos legalmente admisibles. El Encargado del tratamiento puede comunicar los datos personales a otros encargados del mismo Responsable, de acuerdo con las instrucciones de éste. En caso este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que deba se deben comunicar los datos personales, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el Encargado del tratamiento debe transferir los datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o el de los Estados miembros que le sea aplicable, debe informar informará al responsable del tratamiento Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. d) Cuando proceda, de conformidad con lo previsto en el RGPD, llevar por escrito un registro de actividades de tratamiento efectuadas por cuenta del Responsable, con el contenido previsto en el citado Reglamento. e) No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tipo de tratamiento, este hecho se el Encargado del tratamiento deberá comunicar previamente y por escrito este hecho al responsable, con una antelación de 1 mesResponsable, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación sólo podrá llevarse a cabo si el responsable no manifiesta Responsable acepta expresamente y por escrito su oposición en el plazo establecidoautorización. El subcontratista, que también tendrá la condición de encargado del tratamientoencargado, está obligado igualmente a cumplir las obligaciones establecidas en este documento Contrato para el encargado Encargado del tratamiento y las instrucciones documentadas que dicte el responsableResponsable. Corresponde al encargado inicial Encargado del tratamiento regular la nueva relación de forma que el nuevo encargado (“subencargado”) quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, el Encargado del tratamiento asume en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadasvirtud del presente Contrato. En el caso de incumplimiento por parte del subencargadosubencargado de cualquiera de sus obligaciones, el encargado inicial Encargado del tratamiento seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad Responsable del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento asume, junto al resto de las contenidas en el presente acuerdo, las siguientes obligaciones: - Acceder, utilizar y todo su personal se obliga a: a. Utilizar destinar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. . - Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. En el supuesto de que el encargado Responsable del tratamiento considere conforme al contenido de este convenio y a, en su caso, las instrucciones que se puedan marcar para centros escolares y cualquier instrucción que se especifique para el caso concreto. Si el Encargado considera que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier normativa otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, informará inmediatamente al Responsable. - Facilitar, en el momento de la recogida de los datos, la información relativa a los tratamientos de datos que se van a realizar, conforme al artículo 13 del RGPD. La redacción y el formato en que se facilitará la protección información se debe consensuar con el Responsable antes del inicio de la recogida de los datos - Asumir la condición de Responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubiera incurrido personalmente. - No permitir el acceso a los datos de carácter personal responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para el desarrollo y correcto cumplimiento del objeto del convenio suscrito. - No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable, que deberá constar, en todo caso, por escrito. A estos efectos, el Encargado podrá comunicar los datos a otros Encargados del tratamiento del mismo Responsable, de acuerdo con las instrucciones de dicho Responsable. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos concretos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. - Tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de subencargado/s autorizado/s conforme a lo establecido en el convenio suscrito o demás documentos convencionales que pudieran adicionarse o complementar al mismo, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación. - En el caso de que por causa de Derecho nacional o de la Unión Europea el Encargado se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará inmediatamente por escrito al responsable. c. Cuando así Responsable de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Responsable del tratamiento, salvo que el Derecho aplicable lo determine prohíba por razones importantes de interés público. - Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD, y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la normativa relativa Administración Electrónica (ENS), que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural. - Garantizar, a lo largo de toda la vigencia del convenio, la formación necesaria en materia de protección de datosdatos personales de las personas autorizadas para tratar datos personales. - En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, llevar el Encargado mantendrá un registro registro, incluso en formato electrónico, de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableResponsable, que contenga la información exigida por el artículo 30.2 del RGPD. - Asistir al Responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las exigencias solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en los términos dispuestos en la cláusula undécima del presente acuerdo, y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado. - Colaborar con el Responsable en el cumplimiento de sus obligaciones en materia de medidas de seguridad, comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga, y de conformidad con las disposiciones contenidas en la cláusula novena del presente acuerdo. - Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de datos vigente. d. No comunicar los datos Datos Personales y del deber de responsabilidad activa, como, a terceras personastítulo de ejemplo, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso certificados previos sobre el grado de que deba transferir datos personales a un tercer país cumplimiento o a una organización internacional, en virtud del Derecho resultados de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratistaauditorías, que también tendrá la condición habrá de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener poner a disposición del responsable Responsable, a requerimiento de este. Asimismo, durante la documentación acreditativa vigencia del cumplimiento de la obligación establecida contrato, pondrá a disposición del Responsable toda información, certificaciones y auditorías realizadas en el apartado anterior. i. Garantizar cada momento. Igualmente, proporcionará al Responsable cuantos datos o documentos le sean requeridos en los controles, auditorías o inspecciones que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y realice en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable momento el propio Responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas este. - En caso de seguridad necesarias, en función estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la naturalezaLOPDGDD, alcance, contexto designar un Delegado de Protección de Datos y los fines comunicar su identidad y datos de contacto al Responsable. - Respetar todas las obligaciones que pudieran corresponderle como Encargado del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamientole fuera igualmente aplicable. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado ENCARGADO del tratamiento y y, en su caso, todo su personal se obliga a cumplir la normativa en vigor en materia de protección de datos personales y a cumplir las obligaciones contempladas en la misma en cuanto a los encargados del tratamiento y, en particular a: a. : - Utilizar los datos personales objeto de tratamiento, o a los que recoja para su inclusión, tenga acceso sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. Tratar , así como a tratar los datos de acuerdo con las instrucciones del responsable del tratamientoRESPONSABLE. En Si el supuesto de que el encargado del tratamiento considere ENCARGADO considera que alguna de las instrucciones infringe cualquier normativa relativa a la disposición o norma vigente en materia de protección de datos, el ENCARGADO informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa de protección de datos vigente. d. RESPONSABLE. - No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, RESPONSABLE en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. - Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. el contrato. - Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. . - Mantener a disposición del responsable RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. . - Garantizar que la formación necesaria en materia de protección de datos personales de las personan personas autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o. - Notificar, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación violaciones de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo que se puedan producir: El ENCARGADO notificará al responsable del tratamientoRESPONSABLE, sin dilación indebidaindebida y a través de la dirección de correo electrónico que le indique el RESPONSABLE, y en cualquier caso antes del plazo máximo las violaciones de 24 horasla seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo . El ENCARGADO habrá de facilitar al responsable del tratamiento RESPONSABLE la siguiente información: o Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. o Datos de la persona de contacto para obtener más información. o Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. o Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la realización medida en que no lo sea, la información se facilitará de las consultas previas a la autoridad de control, cuando proceda. m. manera gradual sin dilación indebida. - Poner disposición del responsable RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar . - Auxiliar al RESPONSABLE a implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitannecesarias para: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento y todo su personal se obliga a: a. Utilizar los datos personales objeto de del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá variar las finalidades y los usos de los datos, ni utilizar los datos para fines propios. En el caso de que el Encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del presente acuerdo, será considerado también Responsable del tratamiento, respondiendo personalmente y sin limitación de las infracciones en que hubiera incurrido, así como de los daños y perjuicios que puede causar en este caso al Responsable del Tratamiento y/o de los afectados. b. Tratar los datos de acuerdo con personales a los que tenga acceso únicamente conforme a las instrucciones por escrito que, a tal efecto, le indique el Responsable del responsable tratamiento; siempre siguiendo, cuando menos, con la misma política de protección de datos personales y con la política de medidas de seguridad para su resguardo que aquellas empleadas para tal efecto por el Responsable del tratamiento. En Este compromiso se extenderá asimismo con respecto a las transferencias internacionales de datos de carácter personal a un tercer país o una organización internacional. Si el supuesto de que el encargado Encargado del tratamiento considere considera que alguna de las instrucciones infringe el RGPD o cualquier normativa relativa a la protección de datos, informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa otra disposición en materia de protección de datos vigentede la Unión o de los Estados miembros, el Encargado informará inmediatamente al Responsable. En caso de detectarse cualquier tipo de actuación indebida por cualquier persona que desempeñe funciones profesionales para el Encargado del tratamiento (acceso a información que no corresponde a sus funciones, uso indebido de usuarios y contraseñas, un usuario con más autorizaciones de las necesarias o cualquier otra), será responsabilidad y obligación expresa del Encargado del tratamiento la comunicación inmediata al Responsable junto con informe detallado de los hechos. d. c. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable Responsable del tratamiento, tratamiento en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable El Encargado del tratamiento puede comunicar los datos a otros Encargados del tratamiento del mismo Responsable, de esa exigencia legal acuerdo con las instrucciones del Responsable. En este caso, el Responsable identificará, de manera previaforma previa y por escrito, salvo la entidad a la que tal Derecho lo prohíba por razones importantes se deben comunicar los datos, los datos a comunicar y las medidas de interés público. e. seguridad a aplicar para proceder a la comunicación. No podrá subcontratar ninguna de las prestaciones que formen todo o parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios objeto del encargado como acuerdo con otro Encargado del tratamiento sin la autorización previa por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsableescrito, con una antelación de 1 mescarácter específico, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del Responsable del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. . d. En el caso de incumplimiento que el Encargado del tratamiento recurra a un sub-encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del tratamiento, siempre previa autorización por parte de éste, se impondrán al sub-encargado las mismas obligaciones de protección de datos que las estipuladas para el Encargado del subencargado, el encargado inicial seguirá siendo tratamiento. El Encargado del tratamiento será plenamente responsable ante el responsable en lo referente al Responsable del tratamiento, y responderá del efectivo cumplimiento de las obligacionesobligaciones en materia de protección de datos del sub-encargado del tratamiento. f. e. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. f. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. A estos efectos, el Encargado del tratamiento se compromete a tomar, respecto de sus empleados o colaboradores, las medidas necesarias para que resulten informados de la necesidad del cumplimiento de las obligaciones que le incumben como Encargado del tratamiento y que, en consecuencia, deben respetar, así como a garantizar que los datos personales que conozca en virtud del presente acuerdo permanezcan secretos incluso después de finalizado el presente acuerdo por cualquier causa. Para ello, el Encargado del tratamiento realizará todas las advertencias (mediante formación, mensajes de concienciación, etc. h. Mantener ) y suscribirá los documentos que sean necesarios con sus empleados o colaboradores, con el fin de asegurar el cumplimiento de tales obligaciones. Éstos deberán estar informados de forma comprensible de la existencia del presente acuerdo, de las normas de seguridad que afectan al desarrollo de sus funciones, las consecuencias en caso de incumplimiento y el carácter confidencial de la información y del deber xx xxxxxxx de los datos personales, subsistiendo la obligación de confidencialidad y secreto aún finalizada la relación con el Encargado del tratamiento. Dicha obligación de información a los empleados y colaboradores del Encargado deberá llevarse a cabo de modo tal que permita la documentación y puesta a disposición del responsable Responsable del tratamiento del cumplimiento de aquella obligación, manteniendo a disposición del mismo la documentación acreditativa del cumplimiento de la obligación establecida en el apartado párrafo anterior. El Encargado del tratamiento se compromete a facilitar al Responsable del tratamiento toda aquella información que resulte necesaria para demostrar el cumplimiento de sus obligaciones, e informará al Responsable del tratamiento en relación con su eventual adhesión a un código de conducta aprobado, o su adscripción a cualquier mecanismo de certificación que pueda garantizar el cumplimiento de sus obligaciones en relación con el tratamiento de datos de carácter personal. i. g. Garantizar que la formación necesaria en materia de protección de datos personales de las personan personas autorizadas para tratar datos personales. Las personas que desempeñan funciones profesionales para el Encargado del tratamiento deben ser conscientes de la importancia de la información que el Responsable pone a disposición del Encargado, tratar la misma de forma segura y estar formados y cualificados en todas y cada una de las fases de proceso de la información, para todas y cada una de las funciones que desempeñen. Estos deberán observar toda la diligencia posible y medidas adecuadas para proteger el proceso de la información en cumplimiento de su deber de buena fe a la que están obligados contractualmente. h. Asistir al Responsable del tratamiento en la respuesta al ejercicio de los derechos mediante la aplicación de aquellas medidas técnicas y organizativas que resulten apropiadas, y de conformidad con la naturaleza de los datos personalestratados, conocen en relación con las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados y, en particular, sus funciones y obligaciones respecto derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición al tratamiento de los mismossus datos, según las exigencias solicitud de la portabilidad de sus datos de carácter personal, limitación del Reglamento otratamiento, en su casoasí como a la facultad de no ser objeto de una decisión individual automatizada, han realizado formación en específica en incluyendo la materia. j. Cuando elaboración de perfiles. En el caso de que las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos mencionados en la normativa de protección de datos, el apartado anterior ante el encargado Encargado del tratamiento, éste ésta debe comunicarlo al responsable por correo electrónico a la dirección de correo electrónico abajo indicada. La comunicación deberá hacerse de forma inmediata y en ningún caso más allá de 5 días laborables siguientes del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones cualquier otra información que puedan pueda ser relevantes relevante para resolver la solicitud. Correo electrónico: xxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxx.xxx i. Facilitar en el momento de la recogida de datos la información relativa a los tratamientos de los datos que se van a realizar a los interesados, en el caso de que de acuerdo con lo acordado y siguiendo instrucciones del Responsable del tratamiento le correspondiera recabar datos personales al Encargado del tratamiento. La redacción y el formato en que se facilitará la información se debe consensuar con el Responsable antes del inicio de la recogida de datos. k. En el supuesto j. Notificación de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación violaciones de la seguridad de los datos. El Encargado del tratamiento tendrá la obligación de garantizar la implantación de los requisitos de seguridad establecidos en este acuerdo y de comunicar al Responsable del tratamiento cualquier incidente que afecte a la información, documentación y datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable personales responsabilidad del Responsable del tratamiento, ya sea directa o indirectamente. Cuando el Encargado del tratamiento o cualquier persona involucrada en los servicios detectara una incidencia que produjera destrucción, robo, pérdida, alteración accidental, ilícito o daño alguno de la información, que una persona hubiera accedido a la misma sin dilación indebidaautorización, o que la información hubiera sido utilizada de forma inapropiada, el Encargado del tratamiento deberá comunicarse inmediatamente con el Responsable del tratamiento informando de los detalles de la incidencia y en cualquier caso antes del plazo máximo de 24 horasafectados, juntamente con acompañando toda la información relevante para la documentación y comunicación de la incidencia., y como mínimo, la siguiente información (siempre que se disponga de ella): l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función 1. Descripción de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar naturaleza de la confidencialidad, integridad, disponibilidad y resiliencia permanentes violación de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos 2. El nombre y los datos personales de contacto del delegado de protección de datos o de otro punto de contacto en el que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestaciónpueda obtenerse más información.

Obligaciones del encargado del tratamiento. El encargado del tratamiento tratamiento, y todo su personal se obliga a: a. a) Utilizar los datos personales objeto de del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. b) Tratar los datos de acuerdo con a las instrucciones del responsable del tratamiento. En el supuesto de que Si el encargado del tratamiento considere considera que alguna de las instrucciones infringe el RGPD o cualquier normativa relativa a la otra disposición en materia de protección de datosdatos de la Unión o de los Estados miembro, el encargado informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias c) Establecer como interesados aquellos usuarios y/o clientes de la normativa carta digital cuyos datos personales va a ser objeto de protección de datos vigente. d. tratamiento. No comunicar los se comunicarán estos datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir El encargado puede comunicar datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable otros encargados del tratamiento del mismo responsable, de esa exigencia legal acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de manera previaforma previa y por escrito, salvo la entidad a la que tal Derecho lo prohíba por razones importantes se deben comunicar los datos, los datos a comunicar y las medidas de interés públicoseguridad a aplicar para proceder a la comunicación. e. No d) Se autoriza al encargado a subcontratar ninguna cualquiera de las prestaciones que formen parte del objeto de este contrato y que comporten el tratamiento de datos personales, salvo y especialmente los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecidoencargado. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener e) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. f) Garantizar que las personas autorizadas para tratar datos personales se comprometan, comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. g) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. h) Garantizar que la formación necesaria en materia de protección de datos personales de las personan personas autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto . i) Asistir al responsable del tratamiento en la respuesta al ejercicio de los mismosderechos de: 1. Acceso, según las exigencias del Reglamento orectificación, en su caso, han realizado formación en específica en la materiasupresión y oposición. j. 2. Limitación del tratamiento. 3. Portabilidad de los datos. 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresiónsupresión y oposición, oposición limitación del tratamiento, portabilidad de datos y demás derechos recogidos en la normativa a no ser objeto de protección de datos, decisiones individualizadas automatizadas ante el encargado del tratamiento, éste debe comunicarlo al por correo electrónico a la dirección que indique el responsable del tratamiento. La comunicación debe hacerse de forma inmediata y en ningún caso más allá de 5 días laborables siguientes del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con incluyendo cualesquiera otras informaciones que puedan ser relevantes para resolver la solicitud. k. En j) Corresponde en cualquier caso al responsable facilitar el supuesto derecho de que información en el Encargado momento de tratamiento tenga conocimiento la recogida de que se ha producido alguna violación los datos. k) Notificación de violaciones de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo datos: el encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso caso, antes del plazo máximo de 24 horas72 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en . No será necesaria la realización notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las consultas previas a la autoridad personas físicas. Si se dispone de controlella, cuando proceda. m. Poner disposición del responsable toda se facilitará, como mínimo, la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.siguiente: n. Implantar las medidas de seguridad necesarias, en función 1. Descripción de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar naturaleza de la confidencialidad, integridad, disponibilidad y resiliencia permanentes violación de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. o. Destino 2. El nombre y datos de los datos: Una vez finalice contacto del delegado de protección de datos o del otro punto de contacto en el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestaciónpueda obtenerse más información.

Obligaciones del encargado del tratamiento. 5.1 El encargado del tratamiento y todo su personal se obliga a: a. Utilizar está obligado a tratar los datos personales objeto exclusivamente en el marco de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto acuerdos celebrados y de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. Tratar los datos de acuerdo conformidad con las instrucciones del responsable del tratamientocliente. En el supuesto de que Esto no se aplica si el encargado del tratamiento considere que alguna de las instrucciones infringe cualquier normativa relativa a está obligado por la protección de datos, informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa de protección de datos vigente. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho legislación de la Unión o de los Estados miembros a los que le sea aplicableestá sujeto a realizar otro tipo de tratamiento (por ejemplo, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna investigaciones de las prestaciones que formen parte del objeto de autoridades estatales, autoridades policiales). En este contrato que comporten el tratamiento de datos personalescaso, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento notificará al cliente estos requisitos legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha notificación debido a un interés público importante (cf. Art. 28 apartado 3 frase 2 lit. a GDPR). 5.2 El Procesador no utilizará los datos personales facilitados por el Cliente para su procesamiento con otros fines, en particular no para sus propios fines. El Procesador no podrá realizar ninguna copia o duplicado de los datos del Cliente sin el consentimiento previo por escrito del Cliente, a menos y durante el tiempo que sean necesarios para garantizar el correcto procesamiento de los datos, para prestar adecuadamente los servicios de conformidad con el acuerdo de servicio (incluida la copia de seguridad de los datos) o para cumplir con las instrucciones que dicte obligaciones legales de conservación. 5.3 El encargado del tratamiento no podrá ceder los datos del cliente a terceros u otros destinatarios sin el responsableconsentimiento previo por escrito del cliente. Corresponde al encargado inicial regular Esto no se aplica a la nueva relación transferencia de forma que datos a subencargados del tratamiento cuya puesta en servicio haya sido aprobada por el nuevo encargado quede sujeto cliente. 5.4 El Encargado del Tratamiento sólo facilitará a terceros o a las mismas condiciones y con autoridades información sobre los mismos requisitos formales que éldatos personales de esta relación contractual, en la medida en que esté legalmente permitido, siguiendo instrucciones previas por escrito o documentadas electrónicamente o con el consentimiento del Cliente. 5.5 Si el Cliente está obligado a proporcionar información sobre los Datos de Cliente o su procesamiento a una agencia gubernamental, a un sujeto de datos o a otra persona, el Procesador estará obligado a ayudar al Cliente a proporcionar dicha información a la primera solicitud, en particular proporcionando inmediatamente toda la información y los documentos sobre el procesamiento contractual de los Datos de Cliente, incluidas las medidas técnicas y organizativas adoptadas por el Procesador, sobre el proceso técnico de uso de los Datos de Cliente, los lugares donde se utilizan los Datos de Cliente y sobre los empleados implicados en el procesamiento. 5.6 El procesador se compromete a cooperar en la medida necesaria en el cumplimiento de los derechos de los interesados de conformidad con el Art. 12-22 GDPR, en la preparación de los registros de las actividades de procesamiento, en cualquier evaluación de impacto de protección de datos necesaria del cliente, así como en el cumplimiento de las obligaciones del cliente con respecto a la seguridad del procesamiento y, en la medida de lo referente posible, proporcionar al cliente el apoyo adecuado (cf. Art. 28 párrafo 3 frase 2 lit. e, f GDPR). 5.7 El encargado del tratamiento está obligado a rectificar, suprimir o limitar el tratamiento de los datos personales de esta relación contractual si el cliente lo solicita mediante una instrucción escrita o documentada electrónicamente y a la garantía de los derechos de las personas afectadas. En intereses legítimos del encargado del tratamiento, en particular el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligacionesdisposiciones legales, no se oponen a ello. f. Mantener 5.8 El cliente y el deber xx xxxxxxx respecto a los datos encargado del tratamiento acordarán un cambio en el objeto de carácter personal a los que haya tenido acceso tratamiento o un cambio en virtud del presente encargo, incluso después de que finalice su objetoel proceso. El cambio se registrará por escrito o en un formato electrónico documentado. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, 5.9 Tras la finalización de forma expresa y por escritolos trabajos acordados contractualmente o antes a petición del comitente - a más tardar con la rescisión del contrato de servicios - el contratista entregará al comitente, a respetar su elección, todos los documentos, resultados de procesamiento y utilización y datos relativos a la confidencialidad y relación contractual que hayan llegado a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento su poder o, en su casocon el consentimiento previo del comitente, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos destruirá de acceso, rectificación, supresión, oposición y demás derechos recogidos en conformidad con la normativa de protección de datos, ante el encargado . Lo mismo se aplica al material de prueba y de desecho. El registro de eliminación deberá presentarse a petición del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones Cliente. La documentación que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de sirva como prueba del correcto tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo de conformidad con el pedido deberá ser conservada por el Contratista una vez finalizado el contrato de conformidad con los respectivos periodos de conservación. El Contratista podrá entregarlos al Cliente al finalizar el contrato para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidenciasu descargo. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento y todo su personal se obliga obligan a: a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este del encargo. En ningún caso podrá utilizar los datos para fines propios. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. En el supuesto de que el encargado del tratamiento considere que alguna de las instrucciones infringe cualquier normativa relativa a la protección de datos, informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa de protección de datos vigente. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como encargado. Cualquier otra subcontratación requerirá la autorización por ejemplo escrito del responsable. A estos efectos, la aceptación del presente contrato implica la autorización por parte del Responsable de tratamiento a CDmon para la subcontratación de los servicios de alojamiento y/o copias Data Center a favor de seguridadColt España. S.A. y Amazon INC. CDmon. En cualquier caso, se garantiza que todos los datos se albergan en servidores ubicados en la Unión Europea. Si fuera necesario subcontratar algún otro tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento y todo su personal se obliga a: a. Utilizar asume las siguientes obligaciones:  Acceder a los datos personales objeto responsabilidad del Responsable únicamente cuando sea imprescindible para el buen desarrollo de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargoservicios. En ningún caso podrá utilizar los datos para fines propios. b.  Tratar los datos de acuerdo con conforme a las instrucciones que reciba del responsable del tratamientoResponsable.  En el supuesto caso de que el encargado tratamiento incluya la recogida de datos personales en nombre y por cuenta del tratamiento considere Responsable, el Encargado deberá seguir los procedimientos e instrucciones que alguna reciba de él, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados.  Si el Encargado considera que algunas de las instrucciones infringe referidas infringen el RGPD, la LOPDGDD o cualquier normativa relativa a la otra disposición en materia de protección de datosdatos de la Unión Europea o de los estados miembros, informará inmediatamente al responsable. c. Cuando así lo determine Responsable.  No destinar, aplicar o utilizar los datos personales del Responsable con fin distinto del indicado en el presente convenio o de cualquier otra forma que suponga un incumplimiento de sus instrucciones.  Asumir la condición de Responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa relativa vigente, respondiendo de las infracciones en que hubiera incurrido personalmente.  El Encargado, así como cualquier empleado o voluntario suyo, se compromete a cumplir la protección política de datosseguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid, llevar establecida en la Orden 491/2013, de 27 xx xxxxx, y todas las políticas, normas y procedimientos que emanen del citado código, así como las que se determinen en materia de seguridad para el tratamiento de datos personales.  No permitir el acceso a los datos personales responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para la prestación de los servicios.  No revelar, transferir, ceder o de otra forma comunicar los datos personales responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable.  En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPGDD, el Encargado mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableResponsable, que contenga las exigencias de la normativa información exigida por el artículo 30.2 del RGPD.  Garantizar la formación necesaria en materia de protección de datos vigente. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso personales de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar personales.  Dar apoyo al Responsable en la confidencialidad y a cumplir las medidas de seguridad correspondientes, realización de las que hay que informarles convenientemente. h. Mantener evaluaciones de impacto relativas a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata cuando proceda y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad Autoridad de controlControl, cuando proceda. m. .  Poner a disposición del responsable Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable al Responsable u otro auditor autorizado por él. n. Implantar este.  Adoptar y aplicar las medidas de seguridad necesariasestipuladas en el artículo 32 del RGPD, en función y del Esquema Nacional de Seguridad que resulte de aplicación, de modo que garanticen la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes seguridad de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de forma rápidala tecnología, en la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.  En caso de incidente físico o técnico. c) Verificarestar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, evaluar designar un delegado de protección de datos y valorarcomunicar su identidad y datos de contacto al Responsable, así como cumplir con todo lo dispuesto en los artículos 37 a 39 del RGPD y 35 a 37 de forma regular, la eficacia LOPGDD.  En caso de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder deba transferir o permitir acceso a datos personales titularidad responsabilidad del ResponsableResponsable a un tercero en virtud del Derecho de la Unión Europea o de los estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo queque estuviese prohibido por razones de interés público.  Respetar todas las obligaciones que pudieran corresponderle como Encargado con arreglo al RGPD y a la LOPDGDD, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades o de la ejecución de la prestacióncualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y todo su personal se obliga a: a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. En el supuesto de que Si el encargado del tratamiento considere considera que alguna de las instrucciones infringe el RGPD o cualquier normativa relativa a la otra disposición en materia de protección de datosdatos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datos, llevar Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableresponsable que contenga: - El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, que contenga las exigencias de la normativa en su caso, del representante del responsable o del encargado y del delegado de protección de datos. - Las categorías de tratamientos efectuados de cada responsable. - Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: - La seudoanimización y el cifrado de datos vigentepersonales. - La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. - La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. - El proceso de verificación, evaluación y valoraciones regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna de las prestaciones que formen parte Si se efectuara una subcontratación del objeto de este contrato que comporten servicio y ésta conlleva el tratamiento de datos personalesde carácter personal, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y debe comunicarlo por escrito al responsableresponsable con un plazo de antelación de, con una antelación de 1 mesal menos, indicando los tratamientos que se pretende subcontratar e 7 días, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable lo autoriza expresamente. Si no manifiesta su oposición hubiera contestación por parte del responsable en el un plazo establecidode un mes a contar desde la comunicación por parte del encargado, se entenderá como denegada. El subcontratista, que también tendrá tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener . Tanto el encargado como el subencargado del tratamiento, deben mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Obligaciones del encargado del tratamiento. El encargado Encargado del tratamiento Tratamiento y todo su personal se obliga a: a. a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. b) Tratar los datos de acuerdo con las instrucciones documentadas del responsable Responsable del tratamientoTratamiento, incluso con respecto a las transferencias internacionales de Datos Personales salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados Miembros. En Si el supuesto de que el encargado Encargado del tratamiento considere Tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier normativa relativa a la otra disposición en materia de protección de datosdatos de la Unión o de los Estados miembros, el Encargado informará inmediatamente al responsableResponsable. c. Cuando así lo determine la normativa relativa a la protección de datosc) Llevar, llevar por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsableResponsable según lo establecido en el art. 30.5 RGPD, y siempre que contenga las exigencias resulte de la normativa de protección de datos vigenteaplicación. d. d) No divulgar ni comunicar los datos a terceras personas, ni siquiera con finalidades de conservación, salvo que la Ley así lo requiera o cuando se cuente con la autorización expresa del responsable Responsable del tratamientoTratamiento, o en los otros supuestos legalmente admisiblesadmisibles como disponer del consentimiento previo del Responsable. El Encargado puede comunicar los datos a otros encargados del tratamiento del mismo Responsable, de acuerdo con las instrucciones del Responsable. En caso este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que deba se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, debe informar informará al responsable del tratamiento Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. No subcontratar ninguna e) Subcontratación: Por norma general, el Encargado no recurrirá a ningún subcontratista para prestar cualesquiera servicios de las prestaciones que formen parte del objeto soporte al Responsable. Sin perjuicio de este contrato que comporten el tratamiento de datos personaleslo anterior, salvo y según los servicios auxiliares necesarios para contratados por el normal funcionamiento Responsable del tratamiento y en virtud de los servicios del encargado contratos correspondientes suscritos por las Partes, es posible que existan subcontrataciones necesarias, como por ejemplo en los casos de copias de seguridad externalizadas o los servicios de alojamiento y/o copias escritorio en la nube. En otras ocasiones, la contratación de seguridadservicios al Encargado del Tratamiento puede conllevar una contratación indirecta de servicios de terceros, como es el caso de la gestión de licencias de productos. Si fuera necesario En estos casos, es posible que dichos licenciantes actúen directamente como encargados del tratamiento del Responsable, sin que exista subcontratación alguna por parte de ESOFITEC. En cualquier caso, los contratos correspondientes a los servicios contratados por el Responsable del Tratamiento identificarán oportunamente dichas situaciones, por lo que ambas partes aceptan que dichas subcontrataciones quedarán expresamente autorizadas. De conformidad con lo anterior, el Responsable autoriza, de forma general, al Encargado a realizar todas aquellas subcontrataciones que sean necesarias para la correcta prestación del servicio contratado. En caso de que el Encargado deba subcontratar algún tratamientoa cualquier otro tercero, este hecho se deberá comunicar lo comunicará previamente y por escrito al responsableResponsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de PÁC. 1 DE 2 forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable Responsable no manifiesta su oposición en el plazo establecidode quince (15) días hábiles. El subcontratista, que también tendrá tiene la condición de encargado Encargado del tratamientoTratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado Encargado del tratamiento Tratamiento y las instrucciones que dicte el responsableResponsable. Corresponde al encargado Encargado inicial regular la nueva relación relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado Encargado inicial seguirá siendo plenamente responsable ante el responsable Responsable en lo referente al cumplimiento de las obligaciones. f. Mantener f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. g) Garantizar que las personas autorizadas por el Responsable del Tratamiento para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad de los datos personales y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. El acceso a los datos personales será limitado únicamente a aquellos empleados, agentes y asesores que necesariamente requieran el acceso a los datos personales para cumplir con las finalidades de los servicios. h. h) Mantener a disposición del responsable Responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. i) Garantizar que la formación necesaria en materia de protección de datos personales de las personan personas autorizadas para tratar los datos personales. j) Asistir al Responsable del Tratamiento siempre que sea posible y tomando en consideración la naturaleza del tratamiento, conocen sus funciones y obligaciones respecto para el cumplimiento de la obligación del Responsable del Tratamiento de dar respuesta al tratamiento ejercicio de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. derechos realizados por los interesados. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado Encargado del tratamientoTratamiento, éste debe comunicarlo al responsable por correo electrónico a la dirección de correo electrónico que indique el Responsable en cada momento. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del plazo de 5 siete (7) días laborables siguientes al de desde la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En k) Derecho de información: Corresponde al Responsable facilitar el supuesto derecho de que información en el Encargado momento de tratamiento tenga conocimiento la recogida de que se ha producido alguna violación los datos l) Notificación de violaciones de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo datos: El Encargado del Tratamiento notificará al responsable Responsable del tratamientoTratamiento, sin dilación indebida, y en cualquier caso antes en un plazo razonable, y a través de las direcciones de contacto notificadas por el Responsable del plazo máximo Tratamiento en cada momento, las violaciones de 24 horasla seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidenciaincidencia con el fin de que el Responsable del Tratamiento pueda cumplir con sus propias obligaciones de notificación, tal y como establece el RGPD. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente: i. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. l. ii. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. iii. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. iv. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. v. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. m) Dar apoyo razonable al responsable Responsable del tratamiento Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. n) Dar apoyo razonable al Responsable del Tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. o) Poner disposición del responsable Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable Responsable u otro auditor autorizado por él. n. p) Implantar las medidas de seguridad necesariasdescritas en el anexo al presente Contrato que define las diferentes medidas aplicadas por parte de ESOFITEC. En todo caso, el Encargado del Tratamiento se compromete a cumplir con las medidas de seguridad propias que haya establecido. q) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamientosu caso. br) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice cumplida la prestación de los servicios el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos Encargado procederá a destruir los datos personales de carácter personal y/o cualquier soporte o documento utilizados durante la prestación y en los que obren en su poderconsten datos personales. No obstante, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del TratamientoTratamiento podrá determinar expresamente que se le entreguen o devuelvan los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. Cualquiera La destrucción no procederá en el caso de las dos opciones comportará que el Encargado no tenga una previsión legal exija la conservación de los datos, en su poder cuyo caso deberá procederse a la devolución de los mismos garantizando al Responsable del Tratamiento dicha conservación. En cualquier caso, los datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, podrán conservarse debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado.

Obligaciones del encargado del tratamiento. El encargado del tratamiento ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a: a. c) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b. d) Tratar los datos de acuerdo con las instrucciones del responsable del tratamientoMINISTERIO DE DEFENSA. En Si el supuesto de que el encargado del tratamiento considere ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el RGPD o cualquier normativa relativa a la otra disposición en materia de protección de datosdatos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. c. Cuando así lo determine la normativa relativa a la protección de datose) Llevar, llevar por escrito, un registro registro2 de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga las exigencias de la normativa de protección de datos vigenteinformación a que se refiere el artículo 30 del RGPD. d. f) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamientoMINISTERIO DE DEFENSA, en los supuestos legalmente admisibles. El ENCARGADO DEL TRATAMIENTO puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del MINISTERIO DE DEFENSA. En caso este caso, el MINISTERIO DE DEFENSA identificará, de forma previa y por escrito, la entidad a la que deba se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea sean aplicable, debe informar informará al responsable del tratamiento MINISTERIO DE DEFENSA de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. 1 En algunos casos, en particular determinados casos sometidos al derecho administrativo (convenios, contratos de gestión de servicios públicos, etc.), la duración del encargo puede estar limitada por la duración establecida por la legislación vigente para la prestación de servicios. 2 Esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, salvo que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de dicho Reglamento. (Art. 30.5 RGPD). g) Subcontratación (Escoger una de las opciones) No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado como por ejemplo servicios de alojamiento y/o copias de seguridad. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsableMINISTERIO DE DEFENSA, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsableMINISTERIO DE DEFENSA. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar que las personan autorizadas para tratar los datos personales, conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del Reglamento o, en su caso, han realizado formación en específica en la materia. j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y demás derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo al responsable de forma inmediata y en ningún caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. k. En el supuesto de que el Encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y las libertades de las personas físicas, éste lo notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. l. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. m. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y los fines del tratamiento que permitan: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d) Cuando lo exija el tratamiento, seudonimizar y cifrar los datos personales. o. Destino de los datos: Una vez finalice el presente contrato, el encargado del tratamiento, según las instrucciones del Responsable del Tratamiento, deberá suprimir o devolverle todos los datos personales que obren en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselo a otro encargado que designe el Responsable del Tratamiento. Cualquiera de las dos opciones comportará que el Encargado no tenga en su poder datos personales titularidad del Responsable, salvo que, el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.