CONTRACTACIÓ I ASSESSORIA JURÍDICA
CONTRACTACIÓ I ASSESSORIA JURÍDICA
Expedient: 2018/7364
Assumpte: Contractació per a la prestació del servei de Delegat de Protecció de Dades
PLEC DE PRESCRIPCIONS TECNIQUES REGULADOR DEL SERVEI DE DELEGAT DE PROTECCIO DE DADES (a partir d’ara DPD) DE L’AJUNTAMENT DE CALONGE I SANT ANTONI
1.- INTRODUCCIÓ
El Reglament(UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (a partir d’ara RGPD) introdueix la figura del delegat de protecció de dades, que pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d'un contracte de serveis.
Cal designar un delegat de protecció de dades en els casos següents:
• Quan el tractament el duu a terme una autoritat o un organisme públic (tret de jutjats i tribunals). En aquest cas, es pot designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes. Aquest és el cas de l’ajuntament de Calonge i Sant Antoni
• Quan el tractament requereix l'observació habitual i sistemàtica d'interessats a gran escala.
• Quan el tractament té per objecte categories especials de dades personals o dades relatives a condemnes o infraccions penals.
Un cop designat el delegat, les entitats incloses dins l’àmbit d’actuació de l’APDCAT han de comunicar aquesta designació a l’Autoritat Catalana de Protecció de Dades. Així mateix, cal que mantinguin actualitzades les dades comunicades.
2. OBJECTE DEL PLEC
L’objecte del plec és la contractació dels serveis necessaris per la prestació del servei de DPD de conformitat amb el RGPD
3.- PERFIL DEL LLOC DE DELEGAT DE PROTECCIÓ DE DADES.
3.1.- El DPD és un professional les funcions del qual s'assenyalen en l'article 39 del RGPD i s'ocupa de l'aplicació de la legislació sobre privadesa i protecció de dades.
04/10/2018
3.2.- El DPD tindrà com a mínim les següents funcions:
a) Informar i assessorar al responsable o a l'encarregat del tractament i als empleats que s'ocupin del tractament de les obligacions que els incumbeixen en virtut del Reglament i d'altres disposicions de protecció de dades de la Unió o dels Estats membres;
b) Supervisar el compliment del que es disposa en el Reglament, d'altres disposicions de protecció de dades de la Unió o dels Estats membres i de les polítiques del responsable o de l'encarregat del tractament en matèria de protecció de dades personals
c) Supervisar l'assignació de responsabilitats en matèria de protecció de dades
d) Supervisar la conscienciació i formació del personal que participa en les operacions de tractament de dades personals.
i) Supervisar les auditories corresponents
f) Oferir l'assessorament que se li sol·liciti sobre l'avaluació d'impacte relativa a la protecció de dades
g) Supervisar la seva aplicació de conformitat amb l'article 35 del RGPD
Signatura 1 de 1
Xxxxxx Xxxxxxx x Xxxxxxx
h) Cooperar amb l'autoritat de control
Signat digitalment per: TCAT P XXXXXX XXXXXXX XXXXXXX - DNI 00000000X
Motiu: Aquest document va ser aprovat per la Junta de Govern Local en data 31.10.2018
Data i hora: 02/11/2018 09:45:05
Signat digitalment per: TCAT P XXXXXX XXXXXXX XXXXXXX - DNI 00000000X
Data i hora: 28/01/2019 10:57:28
L’autenticitat d’aquest document es pot comprovar mitjançant el codi segur de validació consultant aquesta plana web / La autenticidad de este documento se puede comprobar mediante el código seguro de validación consultando esta página web | |||
Segell Codi SeguelredcteròVniaclidació | ecb82ebf016a4a7f9dcbffa9b36d4a5e001 | ||
Url de valAjuntament dideaCcaiólonge | xxxxx://xxx.xxxxxxx.xxx/xxxxx/xxx/xxx/xxxxxxxxxxxxx/xxx/xxxxxxxxxxxxxxxx.xxx | ||
i) Actuar com a punt de contacte de l'autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia al fet que es refereix l'article 36
j) Realitzar consultes a l'autoritat de control, si escau, sobre qualsevol altre assumpte.
3.3.- El DPD exercirà les seves funcions prestant la deguda atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l'abast, el context i finalitats del tractament.
Per a això, haurà de ser capaç de:
a) Recollir informació per determinar les activitats de tractament
b) Xxxxxxxxx i comprovar la conformitat de les activitats de tractament
c) Informar, assessorar i emetre recomanacions al responsable o l'encarregat del tractament.
d) Recollir informació per supervisar el registre de les operacions de tractament (Registre de tractament)
i) Assessorar en l'aplicació del principi de la protecció de dades per disseny i per defecte.
f) Assessorar sobre:
• si s'ha de dur a terme o no una avaluació d'impacte de la protecció de dades
• quina metodologia ha de seguir-se en efectuar una avaluació d'impacte de la protecció de dades,
• si s'ha de dur a terme l'avaluació d'impacte de la protecció de dades amb recursos propis o amb contractació externa
• quines salvaguardes (incloses mesures tècniques i organitzatives) aplicar per mitigar qualsevol risc per als drets i interessos dels afectats
• si s'ha dut a terme correctament o no l'avaluació d'impacte de la protecció de dades
• si les seves conclusions (si seguir endavant o no amb el tractament i quines salvaguardes aplicar) són conformes amb el RGPD.
g) prioritzar les seves activitats i centrar els seus esforços en aquelles qüestions que presentin majors riscos relacionats amb la protecció de dades.
h) Prestar serveis de formació per tal de millorar la implementació de les polítiques de protecció de dades.
h) assessorar al responsable del tractament sobre:
• quina metodologia emprar en dur a terme una avaluació d'impacte de la protecció de dades
• quines àrees han de sotmetre's a auditoria de protecció de dades interna o externa,
• quines activitats de formació internes proporcionar al personal o els directors responsables de les activitats de tractament de dades i a quines operacions de tractament dedicar més temps i recursos.
3.4.- Els requisits exigits per prestar les funcions de DPD (habilitació professional) serà:
El DPD haurà de reunir coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades. S'han identificat, en conseqüència, aquells coneixements, habilitats o destreses necessàries que ha de saber o posseir la persona a certificar per dur a terme cadascuna de les funcions pròpies del lloc de Delegat de Protecció de Dades
Es valoraran les certificacions / acreditacions / representacions de l’empresa respecte dels marcs normatius objecte del servei.
4. ABAST DE LA PRESTACIÓ DEL SERVEI
4.1.- Entre les funcions genèriques del DPD es poden concretar en tasques d'assessorament i supervisió sobre el següent àrees:
1. Compliment de principis relatius al tractament de dades personals, com els de limitació de finalitat, minimització o exactitud de les dades.
2. Identificació de les bases jurídiques dels tractaments de dades personals.
3. Valoració de compatibilitat de finalitats diferents de les quals van originar la recollida inicial de les dades personals.
4. Determinació de l'existència de normativa sectorial que pugui determinar condicions de tractament específic diferents de les establertes per la normativa general de protecció de dades personals.
5. Disseny i implantació de mesures d'informació als afectats pels tractaments de dades personals i anàlisi de la petició i obtenció del consentiment dels titulars de dades personals.
6. Establiment de mecanismes de recepció i gestió de les sol·licituds d'exercici de drets per part dels interessats.
7. Valoració de les sol·licituds d'exercici de drets per part dels interessats.
8. Contractació d'encarregats de tractament, inclòs el contingut dels contractes o actes jurídics que regulin la relació responsable/encarregat.
9. Identificació dels instruments de transferència internacional de dades adequades a les necessitats i característiques de l'organització i de les raons que justifiquin la transferència.
10. Disseny i implantació de polítiques de protecció de dades.
11. Auditoria de protecció de dades.
12. Establiment i gestió dels registres d'activitats de tractament de dades personals.
13. Anàlisi de risc dels tractaments de dades personals realitzats.
14. Implantació de les mesures de protecció de dades personals des del disseny i protecció de dades per defecte adequades als riscos i naturalesa dels tractaments.
15. Implantació de les mesures de seguretat adequades als riscos i naturalesa dels tractaments.
16. Establiment de procediments de gestió de violacions de seguretat de les dades, inclosa l'avaluació del risc per als drets i llibertats dels afectats i els procediments de notificació a les autoritats de supervisió i als afectats.
17. Determinació de la necessitat de realització d'avaluacions d'impacte sobre la protecció de dades personals.
18. Realització d'avaluacions d'impacte sobre la protecció de dades personals.
19. Relacions amb les autoritats de supervisió.
20. Implantació de programes de formació i sensibilització del personal en matèria de protecció de dades personals .
21. Formació del personal de l’ajuntament de Calonge i Sant Antoni
La contractació inclourà tots els serveis necessaris per realitzar una correcta prestació de l’objecte del contracte.
5. CONDICIONS DE PRESTACIÓ DEL SERVEI
5.1.- El servei s’haurà de prestar a l’Ajuntament de Calonge i Sant Antoni i quant organismes dependents o adscrits en tingui (Fundacions, Organismes autònoms. )
L’equip de treball estarà format per com a mínim 1 consultors (un amb perfil tecnològic i jurídic) que realitzaran un mínim de 4 jornades/mes incloent visites a tots els centres de treball per a l’adaptació de la organització a la RGPD.
L’equip que prestarà el servei hauran d’estar degudament formats i acreditar experiència en els diferents Xxxxx Xxxxxxxxx i estàndards sobre els quals es desenvolupa el projecte.
L’empresa adjudicatària haurà de dotar el seu personal de totes les eines necessàries amb la finalitat d’executar les tasques amb la major eficàcia.
El personal de l’adjudicatària del contracte, que durant la prestació dels seus serveis tingui accés a fitxers que continguin dades de caràcter personal de propietat de l’ajuntament de Calonge i Sant Antoni els serà d’aplicació allò que estableix la Llei 15/1999, de 13 de Desembre, de protecció de dades de caràcter personal i el RGPD o normativa que els substitueixi.
Els serveis prestats s’ajustaran en tot moment a les exigències establertes per la normativa vigent aplicable.
El DPD exercirà les seves funcions prestant la deguda atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l'abast, el context i finalitats del tractament de dades.
5.2.- Termini de resposta
L’adjudicatari haurà de donar resposta a les qüestions formulades a efectes d’assessorament en un termini màxim de 2 dies hàbils .
Per les actuacions d’avaluacions de risc, d’impacte, realització/supervisió del registre de tractaments i qualsevol altre que requereixin entrevistes o estudis previs, la seva durada es definirà a l’oferta tècnica
6.- ENTORN I CONCRECCIONS DEL SERVEI
6.1.- La disponibilitat del DPD (ja sigui físicament a l’ajuntament, ja sigui en línia o mitjançant altres mitjans segurs de comunicació) és fonamental per garantir que els empleats i l’equip de suport, especialment la Comissió de Seguretat de Dades Personals i Transparència, puguin contactar amb ell.
6.2.- En relació amb el suport a la seva labor (amb tal autonomia en l'exercici de les seves funcions que pugui relacionant-se amb el nivell superior de responsabilitat en la Protecció de Dades) és obligatori que el responsable del tractament faciliti al DPD tots els recursos necessaris per desenvolupar la seva activitat.
L'article 38, apartat 2, del RGPD preveu que l'organització recolzi al DPD "facilitant els recursos necessaris per a l'acompliment de [els seus] funcions i l'accés a les dades personals i a les operacions de tractament, i per al manteniment dels seus coneixements especialitzats".
En aquest sentit, el responsable del tractament s’ocuparà de donar:
• Suport actiu a la labor del DPD per part de l'alta direcció
• Concedir temps suficient per tal que el DPD compleixi amb les seves funcions, i així evitar el conflicte entre prioritats, que podria donar lloc al descuit d’altres de les obligacions del DPD.
• Suport adequat quant a recursos financers, infraestructura i personal, segons es requereixi.
• Comunicació oficial de la designació del DPD a tot el personal per garantir que la seva existència i funció es coneguin dins de l'organització.
• Accés necessari a altres serveis, com a recursos humans, departament jurídic, TIC, seguretat, etc., de manera que el DPD pugui rebre suport essencial, aportacions i informació d'aquests serveis.
• Formació contínua del personal.
6.3.- Registre de les activitats de tractament
Sense perjudici de les funcions i obligacions del DPD descrites abans , es concreta que en virtut de l'article 30, apartats 1 i 2, del RGPD és el responsable o l'encarregat del tractament, i no el DPD, qui està obligat a portar un Registre de les activitats de Tractament efectuades sota la seva responsabilitat, però el DPD en relació amb aquest Registres s’ocuparà de:
• Elaborar i proposar un inventari de tractaments , donar les instruccions oportunes i realitzar les actuacions corresponents per mantenir-ho actualitzat. Aquesta tasca es fonamentarà en la informació que els proporcionen les diferents Àrees i Unitats responsables del tractament de dades de l’Ajuntament.
L’Àrea de Secretaria s’ocuparà de la seva publicació i certificació del contingut, prèvia aprovació del responsable del Tractament
Aquest Registre, ha de considerar-se una de les eines que permeten al DPD realitzar les seves funcions de supervisió de l'observança de les normes i d'informació i assessorament al responsable o a l'encarregat del tractament.
6.4.- Anàlisi del risc (AR) i Avaluació d'impacte de les operacions de tractament de dades personals (AI)
De conformitat amb l'article 35.1 i 39 del RGPD, és el responsable o l'encarregat del tractament, i no el DPD, qui està obligat a portar a terme una avaluació d'impacte de les operacions de tractament de dades personals, però el DPD en relació amb l’AR i AI s’ocuparà de:
• El DPD s’ocuparà de portar a terme l’AR i d’assessorar al responsable del tractament sobre quina metodologia usar quan es realitzi una anàlisi de riscos relativa a la protecció de dades, quins àmbits han de ser objecte d'una auditoria de protecció de dades interna o externa, quines activitats de formació internes proporcionar al personal o als encarregats de les activitats de protecció de dades i a quines operacions de tractament dedicar més temps i recursos
• Oferir el seu assessorament al Responsable del tractament o elaborar informe previ al tractament a iniciativa pròpia sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar la seva aplicació
• Determinar si s’ha de dur a terme o no una avaluació d'impacte relativa a la protecció de dades
• Determinar quina metodologia ha de seguir-se en dur a terme una avaluació d'impacte
• Proposar si ha de realitzar-se l'avaluació d'impacte en la pròpia organització a través del mateix DPD o contractar-se externament.
• Determinar quines garanties (incloses mesures tècniques i organitzatives) han d'aplicar-se per mitigar qualsevol risc per als drets i interessos dels interessats.
6.5.- Comissió de Seguretat de Dades Personals i Transparència
Assistir a les reunions de la Comissió de Seguretat de Dades Personals i Transparència així com a les convocatòries realitzades per la més alta autoritat de l’Ajuntament de Calonge i Sant Antoni.
7.- PREU DEL SERVEI
El preu s’ha calculat sobre una dedicació aproximada de 400 hores/any, de manera que es trobaran incloses totes les actuacions pròpies encara que ultrapassin en un 10% les que han servit de fonament de càlcul i només a partir d’aquest llindar es podrà considerar modificació contractual que haurà d’estar degudament fonamentada.
En el preu estaran inclosos tots els desplaçaments a l’Ajuntament o qualsevol altre seu de serveis municipals així com a les de els organismes oficials que calgui visitar en compliment de les seves obligacions.
Igualment estaran incloses les dietes que es puguin derivar (dinar, pernoctes)
Aquestes despeses aniran a càrrec de l’empresa adjudicatària i en cap cas suposaran un cost addicional al preu d’adjudicació per l’Ajuntament de Calonge i Sant Antoni.
8.- CONDICIONS SOCIALS
S’incorporaran com a condicions especials d’execució al PCAP.
8.1.- L'empresa o entitat adjudicatària del contracte acreditarà el compliment dels compromisos adquirits en la seva proposició mitjançant la presentació de la següent documentació:
• Formalitzat, si cal, el contracte, en el termini d'un mes des de la signatura del contracte, l'empresa o entitat adjudicatària comunicarà les dades relatives a les persones contractades i presentarà a aquest efecte copia de l'alta a la Seguretat Social i del contracte de treball a la persona responsable del contracte.
• Si la persona adscrita al contracte ja tingues contracte indefinit amb l’adjudicatària o fos empresari o empresària individual o bé soci/a treballador/a, en el mateix termini anterior presentarà a aquest efecte copia de l'alta a la Seguretat Social i del contracte de treball o document que acrediti el vincle empresarial a la persona responsable del contracte.
8.2.- La persona responsable del contracte podrà́ exigir de l'empresa adjudicatària la documentació assenyalada o qualsevol altra que estimi pertinent per exercir les seves facultats de control i avaluació del compliment del contracte, així́ com sol·licitar la celebració de reunions de seguiment o informes periòdics d'avaluació.
8.3.- Amb la factura final haurà d'aportar la persona contractista una declaració responsable/jurada d'haver complert tots els compromisos i condicions especials d'execució que li anessin exigibles legal o contractualment, relacionant aquestes mesures. A aquesta declaració li acompanyarà un informe referent a la persona responsable del contracte, en el qual s'analitzi l'efectiu compliment del declarat i de qualsevol altra obligació contractualment imposada
9.- CONDICIONS MEDIAMBIENTALS
9.1.- Documents de treball i finals
Per reduir el consum de paper, tots els documents de treball generats durant el servei es lliuraran en format electrònic per correu electrònic, o si no en CD, DVD o pendrive regravables i oberts per poder reutilitzar-los posteriorment.
9.2.- Documents
En qualsevol cas, si es considera necessària la impressió de documents o que l’ajuntament ho sol·liciti expressament (com a informes de treball, documents per a reunions, etc.), l'adjudicatària haurà de:
• Acordar amb l’ajuntament la impressió o no de documents, si no és ella qui ho sol·licita directament (això es pot fer sobre la marxa o fixant uns criteris a l'inici del contracte per a la majoria de situacions)
• Reduir en el que sigui possible el nombre d'impressions ajustant-les al màxim a les necessitats (nombre de participants en una reunió, etc.) perquè no hi hagi còpies sobrants.
• Utilitzar paper 100% reciclat. Només es podrà utilitzar paper no reciclat per a documents no imprimibles en Din A4 o Din A3, o altres usos que requereixin tipus de paper pels quals no existeix paper en qualitat reciclat al mercat.
• Presentar a l'inici del contracte la documentació dels papers reciclats i/o no reciclats que utilitzarà (nom, marca, característiques tècniques i ambientals) si es requereixen documents impresos, perquè siguin autoritzats per la contractant.
• Si es produeixen canvis durant la vigència del contracte, s'haurà d'informar i sol·licitar la seva aprovació per la contractant.
• Imprimir els documents a doble cara, en blanc i negre (el color només s'utilitzarà en casos en els quals no es pugui interpretar en blanc i negre), amb la mínima enquadernació possible i sense tapes de plàstic (per facilitar el seu reciclatge).
Calonge i Sant Antoni, a la data de la signatura electrònica Xxxxxx Xxxxxxx Xxxxxxx
Secretari
CPISR-1 C
Firmado
Firmado digitalmente
digitalmente por
Xxxxx Xxxxx CPISR-1 C Jordi
36984523V
por 36984523V
i Casals
Xxxxx i Casals Fecha: 2019.01.23
XXXXXX XXXXX XXXXXX XXXXX
12:04:28 +01'00'
XXXXXXXX (R: B65101149)
XXXXXXXX (R: B65101149) Fecha: 2019.01.23
01:39:53 +01'00'