Common use of Obligaciones del encargado del tratamiento Clause in Contracts

Obligaciones del encargado del tratamiento. El Encargado del Tratamiento se obliga a: a. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción del Responsable del Tratamiento infringe la normativa de protección de datos de la Unión o de los Estados miembros. b. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad. c. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluyan, entre otros: • La seudonimización y el cifrado de datos personales. • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. d. No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable del Tratamiento. En el caso de que la autorización se conceda con carácter general, el Encargado del Tratamiento mantendrá informado al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Responsable del Tratamiento la oportunidad de oponerse de manera motivada a dichos cambios. Cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del Tratamiento, el Encargado del Tratamiento impondrá a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente Acuerdo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado. Sin perjuicio de cuanto antecede, queda autorizado el acceso a los datos a las empresas y profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.), siempre que dichas tareas no hayan sido concertadas por el Encargado del Tratamiento con la finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Responsable del Tratamiento. e. Asistir al Responsable del Tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en la normativa de protección de datos (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas). En este sentido, cuando los interesados dirijan sus solicitudes al Encargado del Tratamiento para el ejercicio de sus derechos, este dará traslado de las mismas al Responsable del Tratamiento, dentro del plazo de 5 días naturales a contar desde su recepción, para que el Responsable del Tratamiento resuelva debidamente dichas solicitudes. El Encargado del Tratamiento en ningún caso tramitará por cuenta del Responsable del Tratamiento las solicitudes de ejercicio de derechos formuladas por los interesados. f. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. g. Dar apoyo al Responsable del Tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos, cuando proceda, así como en la realización de consultas previas a la autoridad de control, cuando proceda. h. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales una vez finalicen los Servicios, así como a suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. No obstante, el Encargado del Tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento. i. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento o de otro auditor autorizado por este.

Obligaciones del encargado del tratamiento. El Encargado encargado del Tratamiento tratamiento y todo su personal se obliga a: a. : ✓ Utilizar los datos personales a los que tenga acceso sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. ✓ Tratar los datos personales únicamente siguiendo de acuerdo con las instrucciones documentadas del Responsable responsable del Tratamientotra- tamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos, inclusive con respecto el encargado informará inmediatamente al responsable. ✓ No comunicar los datos a las transferencias de datos personales a un tercer país o una organización internacionalterceras personas, salvo que esté obligado cuente con la auto- rización expresa del responsable del tratamiento, en los supuestos legal- mente admisibles. ✓ Xxxxxxxx el deber xx xxxxxxx respecto a ello los datos de carácter personal a los que haya tenido acceso en virtud del Derecho presente encargo, incluso después de la Unión o de los Estados miembros que se aplique al Encargado del Tratamientofinalice el contrato. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción del Responsable del Tratamiento infringe la normativa de protección de datos de la Unión o de los Estados miembros. b. ✓ Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido comprometan, de forma expresa y por escrito, a respetar la confidencialidad. c. Teniendo en cuenta el estado confidenciali- dad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. ✓ Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la técnica, obligación establecida en el apartado anterior. ✓ Garantizar la formación necesaria en materia de protección de datos per- sonales de las personas autorizadas para tratar datos personales. ✓ Notificación de violaciones de la seguridad de los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines datos El encargado del tratamiento notificará al responsable del tratamiento, así como riesgos sin dilación indebida y a través de probabilidad y gravedad variables para la dirección de correo electrónico que le indique el responsable, las violaciones de la seguridad de los derechos y libertades datos personales a su cargo de las personas físicasque tenga conocimiento, aplicar medidas técnicas juntamente con toda la información relevante para la documentación y organizativas apropiadas para garantizar un nivel comunicación de la incidencia. Se facilitará, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad adecuado al riesgode los datos personales, que en su caso incluyaninclusive, entre otros: • La seudonimización cuando sea posible, las categorías y el cifrado número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) Datos de la persona de contacto para obtener más información. c) Descripción de las posibles consecuencias de la violación de la seguri- dad de los datos personales. • La capacidad Descripción de garantizar las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los da- tos personales, incluyendo, si procede, las medidas adoptadas para mi- tigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. ✓ Poner disposición del responsable toda la información necesaria para de- mostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro au- ditor autorizado por él. ✓ Auxiliar al responsable de tratamiento a implantar las medidas de seguri- dad necesarias para: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar . b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida rápida, en caso de incidente físico o técnico. • Un proceso . c) Verificar, evaluar y valorar, de verificaciónforma regular, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d. No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable del Tratamiento. En el caso de que la autorización se conceda con carácter general, el Encargado del Tratamiento mantendrá informado al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Responsable del Tratamiento la oportunidad de oponerse de manera motivada a dichos cambios. Cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del Tratamiento, el Encargado del Tratamiento impondrá a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente Acuerdo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado. Sin perjuicio de cuanto antecede, queda autorizado el acceso a los datos a las empresas y profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.), siempre que dichas tareas no hayan sido concertadas por el Encargado del Tratamiento con la finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Responsable del Tratamiento. e. Asistir al Responsable del Tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en la normativa de protección de datos (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad ✓ Destino de los datos El responsable del tratamiento no conservará datos de carácter personal relativos a los tratamientos del encargado salvo que sea estrictamente necesario para la prestación del servicio, y a no ser objeto de decisiones individuales automatizadas). En este sentido, cuando los interesados dirijan sus solicitudes al Encargado del Tratamiento solo durante el tiempo estrictamente necesario para el ejercicio de sus derechos, este dará traslado de las mismas al Responsable del Tratamiento, dentro del plazo de 5 días naturales a contar desde su recepción, para que el Responsable del Tratamiento resuelva debidamente dichas solicitudes. El Encargado del Tratamiento en ningún caso tramitará por cuenta del Responsable del Tratamiento las solicitudes de ejercicio de derechos formuladas por los interesadosprestación. f. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. g. Dar apoyo al Responsable del Tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos, cuando proceda, así como en la realización de consultas previas a la autoridad de control, cuando proceda. h. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales una vez finalicen los Servicios, así como a suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. No obstante, el Encargado del Tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento. i. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento o de otro auditor autorizado por este.

Obligaciones del encargado del tratamiento. El Encargado ENCARGADO DE TRATAMIENTO, así como el personal a su cargo, deberán llevar a cabo el tratamiento de datos personales derivado de la prestación del Tratamiento servicio contratado, de conformidad con las siguientes obligaciones: ● Limitarse a realizar las actuaciones que resulten necesarias para prestar al RESPONSABLE DEL TRATAMIENTO el Servicio contratado, de conformidad con lo establecido en el Contrato, sin que sea posible utilizar los datos con una finalidad distinta a la prestación del Servicio al que se obliga a: a. hace referencia en el presente Contrato, ni a utilizarlos con fines propios. ● Tratar los datos personales únicamente siguiendo ajustándose a las instrucciones documentadas que, en cada momento, le indique el RESPONSABLE DEL TRATAMIENTO, así como a lo dispuesto en la normativa que le resulte aplicable en materia de protección de datos personales. o Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, éste informará inmediatamente al RESPONSABLE DEL TRATAMIENTO. o Si el ENCARGADO DEL TRATAMIENTO infringe lo establecido en el RGPD al determinar los fines y medios del tratamiento será considerado Responsable del Tratamiento, inclusive Tratamiento con respecto a dicho tratamiento, de conformidad con lo establecido en el artículo 28.10 del GDPR. ● Garantizar la formación necesaria en materia de protección de datos personales de las personas a cargo del ENCARGADO DEL TRATAMIENTO que estén autorizadas al tratamiento de datos personales. ● Llevar, por escrito, un registro de todas las actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO, que contenga: o El nombre y los datos de contacto del PROVEEDOR y del RESPONSABLE DEL TRATAMIENTO y, en su caso, del representante del CLIENTE o del PROVEEDOR y, en su caso, del Delegado de Protección de Datos. o Las categorías de tratamientos efectuados por cuenta de cada responsable. o En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, la documentación de garantías adecuadas. o Una descripción general de las medidas técnicas y organizativas de seguridad que haya especificado el CLIENTE. ● Comprometerse a guardar bajo su control y custodia los datos personales suministrados por el RESPONSABLE DEL TRATAMIENTO a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a terceras personas (salvo que se cuente con autorización expresa del RESPONSABLE DEL TRATAMIENTO). ● En caso de que deba transferir datos personales a un tercer país o a una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique le sea aplicable, informar al Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento RESPONSABLE DEL TRATAMIENTO de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés públicomanera previa. El Encargado ● Poner a disposición del Tratamiento informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción del Responsable del Tratamiento infringe RESPONSABLE DEL TRATAMIENTO toda la normativa información necesaria para demostrar el cumplimiento de protección de datos de la Unión o de los Estados miembros. b. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad. c. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamientosus obligaciones, así como riesgos de probabilidad y gravedad variables para los derechos y libertades la realización de las personas físicas, aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, auditorías o las inspecciones que en su caso incluyan, entre otros: • La seudonimización y realicen el cifrado de datos personales. • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. d. No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable del Tratamiento. En el caso de que la autorización se conceda con carácter general, el Encargado del Tratamiento mantendrá informado al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Responsable del Tratamiento la oportunidad de oponerse de manera motivada a dichos cambios. Cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del Tratamiento, el Encargado del Tratamiento impondrá a este otro encargado, mediante contrato RESPONSABLE DEL TRATAMIENTO u otro acto jurídico establecido con arreglo auditor autorizado por el mismo. ● Designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente Acuerdo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado. Sin perjuicio de cuanto antecede, queda autorizado el acceso a los datos a las empresas y profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.)RESPONSABLE DEL TRATAMIENTO, siempre que dichas tareas no hayan sido concertadas y cuando tal figura resulte obligatoria conforme a lo dispuesto por el Encargado artículo 37.1 del Tratamiento con la finalidad de subcontratar con un tercero todo o parte de GDPR, así como en aquellos supuestos en los Servicios que presta al Responsable del Tratamiento. e. Asistir al Responsable del Tratamiento, teniendo cuenta la naturaleza del tratamientoque, a través pesar de medidas técnicas y organizativas apropiadasno resultar obligatorio, siempre que sea posible, para que este pueda cumplir con se haya procedido a su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en la normativa de protección de datos (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas)nombramiento. En este sentido, cuando los interesados dirijan sus solicitudes al Encargado del Tratamiento para el ejercicio de sus derechos, este dará traslado de las mismas al Responsable del Tratamiento, dentro del plazo de 5 días naturales a contar desde su recepción, para que el Responsable del Tratamiento resuelva debidamente dichas solicitudes. El Encargado del Tratamiento en ningún caso tramitará por cuenta del Responsable del Tratamiento las solicitudes de ejercicio de derechos formuladas por los interesados. f. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. g. ● Dar apoyo al Responsable del Tratamiento RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos, datos (cuando proceda), así como en la realización de consultas previas a la autoridad Autoridad de control, Protección de Datos (cuando proceda). h. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales una vez finalicen los Servicios, así como a suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. No obstante, el Encargado del Tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento. i. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento o de otro auditor autorizado por este.

Obligaciones del encargado del tratamiento. El Encargado del Tratamiento, en su calidad de encargado del tratamiento asume las siguientes obligaciones: • Acceder a los datos de carácter personal responsabilidad del Responsable del Tratamiento se obliga a: a. únicamente cuando sea imprescindible para el buen desarrollo de los servicios para los que ha sido contratado. • Tratar los datos conforme a las instrucciones que reciba del Responsable del Tratamiento. • En caso de que el tratamiento incluya la recogida de datos personales únicamente siguiendo instrucciones documentadas en nombre y por cuenta del Responsable del Tratamiento, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento informará al deberá seguir los procedimientos e instrucciones que reciba del Responsable del Tratamiento Tratamiento, especialmente en lo relativo al deber de esa exigencia legal previa al tratamientoinformación y, salvo que tal Derecho lo prohíba por razones importantes en su caso, la obtención del consentimiento de interés públicolos afectados. El • Si el Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción considera que alguna de las instrucciones del Responsable del Tratamiento infringe el RGPD, la normativa LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros. b. Garantizar , informará inmediatamente al Responsable del Tratamiento. • No destinar, aplicar o utilizar los datos de carácter personal responsabilidad del Responsable del Tratamiento con fin distinto del indicado en el presente contrato o de cualquier otra forma que suponga un incumplimiento de las personas autorizadas para tratar instrucciones del Responsable del Tratamiento. • Asumir la condición de responsable del tratamiento en caso de que destine los datos personales se hayan comprometido a respetar la confidencialidad. c. Teniendo en cuenta el estado otra finalidad distinta del cumplimiento del objeto del contrato, los comunique o los utilice incumpliendo las estipulaciones del contrato o las obligaciones de la técnicanormativa vigente, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades respondiendo de las personas físicas, aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, infracciones en que en su caso incluyan, entre otros: • La seudonimización y el cifrado de datos personaleshubiera incurrido personalmente. • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar la disponibilidad y No permitir el acceso a los datos personales de forma rápida en caso carácter personal responsabilidad del Responsable del Tratamiento a ningún empleado de incidente físico o técnicosu responsabilidad que no tenga la necesidad de conocerlos para la prestación de los servicios contratados. • Un proceso No revelar, transferir, ceder o de verificaciónotra forma comunicar los datos de carácter personal responsabilidad del Responsable del Tratamiento, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. d. No recurrir a otro encargado sin la autorización previa ya sea verbalmente o por escrito, específica por medios electrónicos, papel o generalmediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable del Tratamiento. • El Encargado del Tratamiento, así como cualquier empleado o voluntario del mismo, se compromete a cumplir la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27 xx xxxxx, y todas las políticas, normas y procedimientos que emanen del citado código, así como las que se determinen en materia de seguridad para el tratamiento de datos de carácter personal. • En el caso de que estar obligado a ello por el artículo 30 del RGPD y 31 de la autorización se conceda con carácter generalLOPDGDD, el Encargado del Tratamiento mantendrá informado al Responsable del Tratamiento un registro de cualquier cambio previsto en la incorporación o sustitución todas las categorías de otros encargados, dando así al Responsable del Tratamiento la oportunidad de oponerse de manera motivada a dichos cambios. Cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento efectuadas por cuenta del Responsable del Tratamiento, que contenga la información exigida por el Encargado artículo 30.2 del Tratamiento impondrá a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de RGPD. • Garantizar la Unión o de los Estados miembros, las mismas obligaciones formación necesaria en materia de protección de datos que las estipuladas en el presente Acuerdo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado. Sin perjuicio de cuanto antecede, queda autorizado el acceso a los datos a las empresas y profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.), siempre que dichas tareas no hayan sido concertadas por el Encargado del Tratamiento con la finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Responsable del Tratamiento. e. Asistir al Responsable del Tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en la normativa de protección de datos (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas). En este sentido, cuando los interesados dirijan sus solicitudes al Encargado del Tratamiento para el ejercicio de sus derechos, este dará traslado de las mismas al Responsable del Tratamiento, dentro del plazo de 5 días naturales a contar desde su recepción, para que el Responsable del Tratamiento resuelva debidamente dichas solicitudes. El Encargado del Tratamiento en ningún caso tramitará por cuenta del Responsable del Tratamiento las solicitudes de ejercicio de derechos formuladas por los interesados. f. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. g. personas autorizadas para tratar datos personales. • Dar apoyo al Responsable del Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda, así como . • Dar apoyo al Responsable del Tratamiento en la realización de las consultas previas a la autoridad Autoridad de controlControl, cuando proceda. h. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales una vez finalicen los Servicios, así como a suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. No obstante, el Encargado del Tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento. i. • Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdosus obligaciones, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del las auditorías o las inspecciones que realicen al Responsable del Tratamiento o de u otro auditor autorizado por este. • Adoptar y aplicar las medidas de seguridad estipuladas en el presente contrato, conforme lo previsto en el artículo 32 del RGPD y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS) , que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable del Tratamiento y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural. • En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable del Tratamiento, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del RGPD y 35 a 37 de la LOPDGDD. • Respetar todas las obligaciones que pudieran corresponderle como Encargado del Tratamiento con arreglo al RGPD y LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable. • En caso de que el Encargado del Tratamiento deba transferir o permitir acceso a datos personales responsabilidad del Responsable del Tratamiento a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable del Tratamiento de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

Obligaciones del encargado del tratamiento. El Encargado encargado del Tratamiento tratamiento y todo su personal se obliga obligan a: a. a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b) Tratar los datos personales únicamente siguiendo de acuerdo con las instrucciones documentadas del Responsable responsable del Tratamiento, inclusive con respecto a las transferencias tratamiento conforme al contenido de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento sieste Convenio y a, en su opinióncaso, las instrucciones que el Gerente de Madrid Salud le pueda especificar en concreto y que se incluirían como una instrucción Adenda al mismo. Si el encargado del Responsable del Tratamiento tratamiento considera que alguna de las instrucciones infringe la normativa el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. b. Garantizar c) Llevar por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. Las categorías de tratamientos efectuados por cuenta de cada responsable. 2. En su caso, las personas autorizadas para tratar transferencias de datos personales se hayan comprometido a respetar un tercer país u organización internacional, incluida la confidencialidadidentificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas. c. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades 3. Una descripción general de las personas físicas, aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluyan, entre otrosrelativas a: • La seudonimización y el cifrado de datos personales. • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida rápida, en caso de incidente físico o técnico. • Un El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. d. d) No recurrir comunicar los datos a otro encargado sin terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, específica la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o generala una organización internacional, en virtud del Responsable del Tratamiento. En el caso de que la autorización se conceda con carácter general, el Encargado del Tratamiento mantendrá informado al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Responsable del Tratamiento la oportunidad de oponerse de manera motivada a dichos cambios. Cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del Tratamiento, el Encargado del Tratamiento impondrá a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembrosmiembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e) Subcontratación: No subcontratar ninguna de las prestaciones que formen parte del objeto de este Convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 72 horas indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas obligaciones condiciones (instrucciones, obligaciones, medidas de protección de datos seguridad...) y con los mismos requisitos formales que las estipuladas en el presente Acuerdoél, en particular lo referente al adecuado tratamiento de los datos personales y a la prestación garantía de garantías suficientes los derechos de aplicación las personas afectadas. En el caso de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datosincumplimiento por parte del subencargado, el Encargado del Tratamiento encargado inicial seguirá siendo plenamente responsable ante el Responsable del Tratamiento por responsable en lo que respecta referente al cumplimiento de las obligaciones del otro encargado. Sin perjuicio de cuanto antecede, queda autorizado obligaciones. f) Xxxxxxxx el acceso deber xx xxxxxxx respecto a los datos de carácter personal hechos, informaciones, conocimientos, documentos y otros elementos a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto, sin que pueda conservar copia o utilizarlos para cualquier finalidad distinta a las empresas expresamente recogidas en el presente pliego, incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente. Igualmente, deberá informar a sus empleados de que sólo pueden tratar la información del Ayuntamiento para cumplir los servicios objeto de este Convenio y profesionales también de la obligación de no hacer públicos, ceder o enajenar cuantos datos conozcan. Esta obligación subsistirá aún después de la finalización del Convenio. La entidad adjudicataria deberá formar e informar a su personal de las obligaciones que en materia de protección de datos sean necesarias cumplir en el Encargado desarrollo de sus tareas para la prestación del Tratamiento Convenio, en especial las derivadas del deber xx xxxxxxx, respondiendo el COFM personalmente de las infracciones legales en que por incumplimiento de sus empleados se pudiera incurrir. El COFM y su personal, durante la realización de los servicios que se presten como consecuencia del cumplimiento del Convenio, estarán sujetos al estricto cumplimiento de los documentos de seguridad de las dependencias municipales en las que se desarrolle su trabajo. g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. Deberá incluir una cláusula de confidencialidad y secreto en los términos descritos en los contratos laborales que suscriban los trabajadores destinados a la prestación de las actuaciones objeto del presente Convenio. Dicho compromiso afecta tanto al COFM, como a los participantes y colaboradores en el proyecto (Oficinas de Farmacia) y se entiende circunscrito tanto al ámbito interno de la entidad como al ámbito externo de la misma. El Ayuntamiento de Madrid y Madrid Salud se reservan el derecho al ejercicio de las acciones legales oportunas en caso de que bajo su criterio se produzca un incumplimiento de dicho compromiso. h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición 2. Limitación del tratamiento 3. Portabilidad de datos 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) El encargado del tratamiento debe resolver, por cuenta del responsable, y dentro del plazo establecido, las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, en relación con los datos objeto del encargo. k) Derecho de información El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos. l) Notificaciones de violaciones de la seguridad de los datos El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga contratados en su ámbito organizativo interno conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que le presten servicios generales dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) El nombre y los datos de contacto del delegado de protección de datos o de mantenimiento (servicios informáticosotro punto de contacto en el que pueda obtenerse más información. c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, asesoramientoincluyendo, auditoríassi procede, etclas medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo: a) Explicar la naturaleza de la violación de datos.), siempre b) Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que dichas tareas no hayan sido concertadas pueda obtenerse más información. c) Describir las posibles consecuencias de la violación de la seguridad de los datos personales. d) Describir las medidas adoptadas o propuestas por el Encargado responsable del Tratamiento con tratamiento para poner remedio a la finalidad violación de subcontratar con un tercero todo o parte la seguridad de los Servicios que presta al Responsable del Tratamientodatos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. e. m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. o) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. p) Asistir al Responsable responsable del Tratamientotratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del Reglamento (UE) 2016/679, teniendo en cuenta la normativa naturaleza del tratamiento y la información a disposición del encargado. q) Así mismo informará inmediatamente al responsable del tratamiento si una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas). En este sentido, cuando los interesados dirijan sus solicitudes al Encargado del Tratamiento para el ejercicio de sus derechos, este dará traslado de las mismas al Responsable del Tratamiento, dentro del plazo de 5 días naturales a contar desde su recepción, para que el Responsable del Tratamiento resuelva debidamente dichas solicitudes. El Encargado del Tratamiento en ningún caso tramitará por cuenta del Responsable del Tratamiento las solicitudes de ejercicio de derechos formuladas por los interesados. f. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. g. Dar apoyo al Responsable del Tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos, cuando proceda, así como en la realización de consultas previas a la autoridad de control, cuando proceda. h. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales una vez finalicen los Servicios, así como a suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. r) Implantar las medidas de seguridad siguientes, de acuerdo con la evaluación de riesgos realizada por el encargado, a la fecha de formalización: • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. El COFM, al igual que su personal, se someterán a los documentos de seguridad vigentes en el Ayuntamiento de Madrid para cada uno de los ficheros a los que tengan acceso, e igualmente a las especificaciones e instrucciones de los responsables de seguridad en materia de protección de datos de cada una de las dependencias municipales afectadas. Los diseños, desarrollos o mantenimientos de software deberán, con carácter general, observar los estándares que se deriven de la normativa de seguridad de la información y de protección de datos Aportará una memoria descriptiva de las medidas que adoptará para garantizar la seguridad, confidencialidad e integridad de los datos manejados y de la documentación facilitada. Asimismo, el COFM deberá informar a Madrid Salud, antes de transcurridos siete días de la fecha de formalización del Convenio, la persona que será directamente responsable de la puesta en práctica y de la inspección de dichas medidas de seguridad, adjuntando su perfil profesional. DADO QUE EL ADJUDICATARIO PRESTARÁ SUS SERVICIOS EN SUS PROPIOS LOCALES Y UTILIZANDO SUS SISTEMAS DE INFORMACIÓN: En la medida que el COFM aporta equipos informáticos para la prestación del objeto del Convenio, una vez finalizadas las tareas, previamente a retirar los equipos informáticos, deberá borrar toda la información utilizada o que se derive de la ejecución del convenio, mediante el procedimiento técnico adecuado, o proceder a su entrega al responsable del fichero. La destrucción de la documentación de apoyo, si no se considerara indispensable por el Ayuntamiento habiéndolo comunicado por escrito, se efectuará mediante máquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, efectuándose esta operación en el lugar donde se realicen los trabajos. Igualmente, deberá adoptar las medidas necesarias para impedir la recuperación posterior de información almacenada en soportes que vayan a ser desechados o reutilizados. Devolverá al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el Encargado del Tratamiento podrá conservarencargado puede conservar una copia, con los datos debidamente bloqueados, los datos en tanto pudieran mientras puedan derivarse responsabilidades de su relación con el Responsable del Tratamientola ejecución de la prestación. i. Poner s) El Ayuntamiento de Madrid y Madrid Salud se reservan el derecho de efectuar en cualquier momento los controles y auditorías que estimen oportunos para comprobar el correcto cumplimiento por parte del COFM de sus obligaciones, el cual está obligado a disposición facilitarle cuantos datos o documentos le requiera para ello. t) El incumplimiento por parte del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento COFM de las obligaciones establecidas estipulaciones del presente Convenio lo convierten en el presente Acuerdoresponsable del tratamiento respondiendo directamente de las infracciones en que hubiera incurrido, así como para permitir del pago del importe íntegro de cualquier sanción que, en materia de protección de datos de carácter personal, pudiera ser impuesta al Ayuntamiento de Madrid y/o Madrid Salud, así como de la totalidad de los gastos, daños y contribuir a la realización perjuicios que sufran el Ayuntamiento de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento Madrid y/o Madrid Salud como consecuencia de otro auditor autorizado por estedicho incumplimiento.

Obligaciones del encargado del tratamiento. El Encargado encargado del Tratamiento tratamiento y todo su personal se obliga a: a. : ✓ Utilizar los datos personales a los que tenga acceso sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. ✓ Tratar los datos personales únicamente siguiendo de acuerdo con las instrucciones documentadas del Responsable responsable del Tratamientotra- tamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos, inclusive con respecto el encargado informará inmediatamente al responsable. ✓ No comunicar los datos a las transferencias de datos personales a un tercer país o una organización internacionalterceras personas, salvo que esté obligado cuente con la auto- rización expresa del responsable del tratamiento, en los supuestos legal- mente admisibles. ✓ Xxxxxxxx el deber xx xxxxxxx respecto a ello los datos de carácter personal a los que haya tenido acceso en virtud del Derecho presente encargo, incluso después de la Unión o de los Estados miembros que se aplique al Encargado del Tratamientofinalice el contrato. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción del Responsable del Tratamiento infringe la normativa de protección de datos de la Unión o de los Estados miembros. b. ✓ Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido comprometan, de forma expresa y por escrito, a respetar la confidencialidad. c. Teniendo en cuenta el estado confidenciali- dad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. ✓ Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la técnica, obligación establecida en el apartado anterior. ✓ Garantizar la formación necesaria en materia de protección de datos per- sonales de las personas autorizadas para tratar datos personales. ✓ Notificación de violaciones de la seguridad de los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines datos El encargado del tratamiento notificará al responsable del tratamiento, así como riesgos sin dilación indebida y a través de probabilidad y gravedad variables para la dirección de correo electrónico que le indique el responsable, las violaciones de la seguridad de los derechos y libertades datos personales a su cargo de las personas físicasque tenga conocimiento, aplicar medidas técnicas juntamente con toda la información relevante para la documentación y organizativas apropiadas para garantizar un nivel comunicación de la incidencia. Se facilitará, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad adecuado al riesgode los datos personales, que en su caso incluyaninclusive, entre otros: • La seudonimización cuando sea posible, las categorías y el cifrado número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) Datos de la persona de contacto para obtener más información. c) Descripción de las posibles consecuencias de la violación de la segu- ridad de los datos personales. • La capacidad Descripción de garantizar las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los da- tos personales, incluyendo, si procede, las medidas adoptadas para mi- tigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. ✓ Poner disposición del responsable toda la información necesaria para de- mostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro au- ditor autorizado por él. ✓ Auxiliar al responsable de tratamiento a implantar las medidas de seguri- dad necesarias para: a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar . b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida rápida, en caso de incidente físico o técnico. • Un proceso . c) Verificar, evaluar y valorar, de verificaciónforma regular, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d. No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable del Tratamiento. En el caso de que la autorización se conceda con carácter general, el Encargado del Tratamiento mantendrá informado al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Responsable del Tratamiento la oportunidad de oponerse de manera motivada a dichos cambios. Cuando el Encargado del Tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable del Tratamiento, el Encargado del Tratamiento impondrá a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente Acuerdo, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado. Sin perjuicio de cuanto antecede, queda autorizado el acceso a los datos a las empresas y profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.), siempre que dichas tareas no hayan sido concertadas por el Encargado del Tratamiento con la finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Responsable del Tratamiento. e. Asistir al Responsable del Tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en la normativa de protección de datos (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad ✓ Destino de los datos El responsable del tratamiento no conservará datos de carácter personal relativos a los tratamientos del encargado salvo que sea estrictamente necesario para la prestación del servicio, y a no ser objeto de decisiones individuales automatizadas). En este sentido, cuando los interesados dirijan sus solicitudes al Encargado del Tratamiento solo durante el tiempo estrictamente necesario para el ejercicio de sus derechos, este dará traslado de las mismas al Responsable del Tratamiento, dentro del plazo de 5 días naturales a contar desde su recepción, para que el Responsable del Tratamiento resuelva debidamente dichas solicitudes. El Encargado del Tratamiento en ningún caso tramitará por cuenta del Responsable del Tratamiento las solicitudes de ejercicio de derechos formuladas por los interesadosprestación. f. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento. g. Dar apoyo al Responsable del Tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos, cuando proceda, así como en la realización de consultas previas a la autoridad de control, cuando proceda. h. A elección del Responsable del Tratamiento, suprimir o devolver todos los datos personales una vez finalicen los Servicios, así como a suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. No obstante, el Encargado del Tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento. i. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento o de otro auditor autorizado por este.