REUNIDOS: De una parte, “MUTUALIA”, MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL nº 2 (en adelante
En , a de de
REUNIDOS:
De una parte, “MUTUALIA”, MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL nº 2 (en adelante
“MUTUALIA”, “la Mutua”, RESPONSABLE de Tratamiento”) con Sede operativa y domicilio a efectos de notificaciones en 00000 Xxxxxx, c/ Xxxxx, nº 26, con NIF nº G 95471165 y en su nombre y representación, X. XXXXXXX LEKUNBERRI HORMAETXEA, mayor de edad, con DNI nº 00.000.000-Z y a efectos del presente en el mismo domicilio, como Director Gerente de MUTUALIA, y especialmente facultado en méritos de la escritura de poder otorgada a su favor.
De otra parte , (en adelante, “Proveedor”, “Empresa”, “Empresa proveedora” “Adjudicataria” o “ENCARGADO de Tratamiento”), con domicilio en
, provista de CIF núm. , representada por D/Dña. ,mayor de edad, en su calidad de y provista esta persona de DNI/Pasaporte/NIE núm. .
MANIFIESTAN
a) Que ambas partes tienen suscrita y vigente una relación contractual según contrato firmado, en virtud de la cual se puede determinar necesario el tratamiento, directo o indirecto, de datos de carácter personal y/o información confidencial.
b) Que ambas partes son conscientes de las exigencias de cumplimiento normativo y de confidencialidad previstas en la vigente normativa sobre Protección de Datos Personales, especialmente en cumplimiento del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 xx xxxxx de 2016 GENERAL DE PROTECCIÓN DE DATOS (en adelante, RGPD) relativo a la protección de datos personales de las personas físicas en lo que respecta a su tratamiento y a la libre circulación de estos datos, la LEY ORGÁNICA 3/2018 DE 5 DE DICIEMBRE DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES (en adelante, LOPDGDD) y demás normativa que sea aplicable, complementaria, de desarrollo, o conexa.
c) En el caso de que la contratación implique el acceso del PROVEEDOR a datos de carácter personal de cuyo tratamiento sea RESPONSABLE MUTUALIA, el PROVEEDOR tendrá la condición jurídica de ENCARGADODEL TRATAMIENTO, según regula el art. 28 RGPD y arts. 28 y 33 LOPDGDD. En este supuesto, el acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en los preceptos antes indicados. En todo caso, las previsiones de este deberán de constar por escrito conforme a regula este contrato.
d) Para el supuesto arriba indicado, mediante el presente contrato, el MUTUALIA, como RESPONSABLE del Tratamiento, autoriza al PROVEEDOR (empresa o profesional identificado en el encabezamiento del presente documento), como ENCARGADODE TRATAMIENTO, a tratar por cuenta de MUTUALIA, los datos personales que, en su caso, sean necesarios para la realización del objeto del contrato, y que sean comunicados por el RESPONSABLE del Fichero al ENCARGADO de Tratamiento, con la única finalidad de materializar y hacer posible la ejecución la relación contractual existente entre ambas partes; y por todo ello, han venido a pactar el presente CONTRATO DE CONFIDENCIALIDAD, SEGURIDAD EN LA INFORMACIÓN Y CUMPLIMIENTO NORMATIVO DE TRATAMIENTO DE DATOS
PERSONALES, para dar cumplimiento a la normativa anteriormente mencionada de conformidad con las siguientes:
CLÁUSULAS
1. Tratamiento de datos personales.
1.1 La empresa adjudicataria, en condición legal de ENCARGADO de Tratamiento, queda facultada para realizar por cuenta de MUTUALIA, actuando esta como RESPONSABLE de Fichero, los tratamientos de datos personales necesarios para materializar la relación contractual que mantienen ambas partes firmantes, además de la que se desprenda de este clausulado de Protección de Datos y de Confidencialidad; para el supuesto de que en estas relaciones jurídicas pueda ser necesario que el ENCARGADO de Tratamiento tenga acceso a datos personales de los que sea RESPONSABLE MUTUALIA.
1.2 Para el cumplimiento del objeto de este pliego, el adjudicatario deberá tratar los datos personales de RESPONSABLE del Tratamiento de la manera que se especifica en el Anexo a este pliego, denominado “Tratamiento de Datos Personales”.
1.3 Ello conlleva que la empresa proveedora actúe en calidad de ENCARGADO del Tratamiento y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, tratando y protegiendo debidamente los Datos Personales.
1.4 Por tanto, sobre MUTUALIA recaen las responsabilidades de RESPONSABLE del Trata-miento y sobre la empresa adjudicataria las de ENCARGADO de Tratamiento. Si el adjudicatario destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del contrato y/o la normativa vigente, será considerado también como RESPONSABLE del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
1.5 El acceso por parte de un ENCARGADO de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al RESPONSABLE no se considerará comunicación de datos siempre que se cumpla lo establecido en el RGPD y en la LOPDGDD y en sus normas de desarrollo.
1.6 Tendrá la consideración de RESPONSABLE del tratamiento y no la de ENCARGADO quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 RGPD. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.
1.7 Tendrá asimismo la consideración de RESPONSABLE del tratamiento quien figurando como ENCARGADO utilizase los datos para sus propias finalidades
1.8 En caso de que como consecuencia de la ejecución del contrato resultara necesario en algún momento la modificación de lo estipulado en el Anexo I “Tratamiento de Datos Personales”, el adjudicatario lo requerirá razonadamente y señalará los cambios que solicita. En caso de que
MUTUALIA estuviese de acuerdo con lo solicitado emitiría un Anexo I “Tratamiento de Datos Personales” actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.
1.9 . Conforme al art. 28 LOPDGDD, ambos firmantes, en su calidad de RESPONSABLE y de ENCARGADO de tratamiento, respectivamente, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 RGPD, determinarán las MEDIDAS TÉCNICAS Y ORGANIZATIVAS APROPIADAS que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el RGPD, la LOPDGDD, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la EVALUACIÓN DE IMPACTO en la protección de datos y la CONSULTA PREVIA a que se refiere la Sección 3 del Capítulo IV del RGPD. Para la adopción de las citadas medidas tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas
d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad
f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
h) Cualesquiera otros que a juicio del RESPONSABLE o del ENCARGADO pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
En todo caso, el ENCARGADO de tratamiento deberá al menos cumplir las medidas de seguridad mínimas contenidas en el Anexo I de este documento.
2. Obligaciones del ENCARGADO de Tratamiento
2.1. De conformidad con lo previsto en el artículo 28 RGPD y el art. 28 y 33 LOPDGDD, el adjudicatario se obliga y garantiza el cumplimiento de las siguientes obligaciones, complementadas con lo detallado en el Anexo “Tratamiento de Datos Personales”:
2.1. Tratar los Datos Personales conforme a las instrucciones documentadas en el presente Pliego o demás documentos contractuales aplicables a la ejecución del contrato y aquellas que, en su caso, reciba de MUTUALIA por escrito en cada momento.
2.2. La empresa adjudicataria proveedora informará inmediatamente a MUTUALIA cuando, en su opinión, una instrucción sea CONTRARIA a la normativa de protección de Datos Personales aplicable en cada momento; o contraria a cualquier otra norma que le sea de aplicación del Derecho de la UE o de un Estado miembro, que le obligue.
2.3. No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del objeto del Contrato. En los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora, le obligue a un determinado y específico tipo de tratamiento de los datos, incluso en contra de las instrucciones expresas de MUTUALIA, se justificará y se informará de tal eventual situación al RESPONSABLE de Seguridad de MUTUALIA para adaptar las medidas organizativas, jurídicas y de seguridad oportunas.
2.4. Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 RGPD, así como observar y adoptar las MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD, necesarias o convenientes, para asegurar la CONFIDENCIALIDAD, SECRETO E INTEGRIDAD de los Datos Personales a los que tenga acceso.
2.5. En particular, y sin carácter limitativo, se obliga a aplicar las MEDIDAS DE PROTECCIÓN DEL NIVEL DE RIESGO Y SEGURIDAD detallados en el Anexo “Tratamiento de Datos Personales”.
2.6. Mantener la más absoluta CONFIDENCIALIDAD sobre los Datos Personales a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del adjudicatario, siendo deber del adjudicatario instruir a las personas que de él dependan, de este DEBER XX XXXXXXX, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación.
2.7. Llevar un listado de PERSONAS AUTORIZADAS para tratar los Datos Personales que sean precisos para la correcta ejecución de la relación contractual que une a MUTUALIA y a empresa proveedora que actúa a su vez como ENCARGADO de Tratamiento, y garantizar que LAS MISMAS SE COMPROMETEN, de forma expresa y por escrito, a respetar la CONFIDENCIALIDAD, y a cumplir con las MEDIDAS DE SEGURIDAD correspondientes, de las que les debe informar convenientemente. La empresa adjudicataria que ostente la condición de ENCARGADO de tratamiento se compromete a tener a disposición de MUTUALIA dicha documentación acreditativa.
2.8. Garantizar la FORMACIÓN necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
2.9. Salvo que cuente en cada caso con la autorización expresa del RESPONSABLE del Tratamiento, NO comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación, salvo en los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora, le obligue y/o ampare a realizar una comunicación de datos a un tercero.
2.10. Nombrar un DELEGADO DE PROTECCIÓN DE DATOS en caso de que sea necesario según el RGPD y/o la LOPDGDD, también cuando la designación sea voluntaria; así como la comunicar a MUTUALIA su identidad y datos de contacto. Igualmente, la empresa adjudicataria deberá comunicar a MUTUALIA la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) como sus REPRESENTANTE(s) y/o RESPONSABLE DE SEGURIDAD a efectos de protección de los Datos Personales (representantes del ENCARGADO de Tratamiento), RESPONSABLE(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
2.11. UNA VEZ FINALIZADA LA PRESTACIÓN CONTRACTUAL OBJETO del presente documento, el proveedor ENCARGADO de tratamiento se compromete, según corresponda y se instruya en el Anexo “Tratamiento de Datos Personales”, a DEVOLVER O DESTRUIR los Datos Personales a los que haya tenido acceso; los Datos Personales generados por el adjudicatario por causa del tratamiento; y los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción.
El ENCARGADO del Tratamiento podrá, NO OBSTANTE, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el RESPONSABLE del Tratamiento. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
En los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora, le obligue y/o ampare a conservar en diferentes plazos los datos personales objeto de tratamiento, deberá comunicar y justificar ante MUTUALIA tal excepción legal.
2.12. Según corresponda y se indique en el Anexo “Tratamiento de Datos Personales, la empresa proveedora adjudicataria deberá a llevar a cabo el tratamiento de los Datos Personales en SISTEMAS/DISPOSITIVOS DE TRATAMIENTO, manuales y automatizados, y en las UBICACIONES que en el citado Anexo se especifican, equipamiento que podrá estar: a) Bajo el control total o parcial directo de MUTUALIA; o b) Bajo el control total o parcial, directo o indirecto, de la empresa adjudicataria o c) Bajo el control total o parcial, directo o indirecto de otras empresas subcontratistas que hayan sido expresamente autorizados por escrito por MUTUALIA, según se establezca en dicho Anexo en su caso, o en documento contractual complementario, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este Pliego.
2.13. Salvo que se indique otra cosa en el Anexo “Tratamiento de Datos Personales” o se instruya así expresamente por MUTUALIA, la empresa proveedora adjudicataria deberá tratar los Datos Personales de los cuales es RESPONSABLE MUTUALIA dentro del conocido como ESPACIO ECONÓMICO EUROPEO + Suiza (UE + Noruega, Islandia, Lietchenstein + Suiza); o en otro espacio territorial u organizativo considerado ADECUADO equivalente según el RGPD y/o por las autoridades competentes de la UE aplicable como de seguridad equivalente; o mediante las garantías adecuadas, normas corporativas vinculantes o excepciones, conforme a lo previsto en los arts. 45 a 49 RGPD. Fuera de tales supuestos no podrá tratarlos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido los documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación.
2.14. En los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora esta se vea obligada a llevar a cabo alguna TRANSFERENCIA INTERNACIONAL DE DATOS terceros países u organizaciones regulada en el art. 44 RGPD, el adjudicatario informará por escrito a MUTUALIA de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables a MUTUALIA, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
2.15. De conformidad con el artículo 33 RGPD, comunicar a Mutualia, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier VIOLACIÓN DE LA SEGURIDAD de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible VULNERACIÓN DE LA CONFIDENCIALIDAD como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad. Todo ello conforme al modelo documental previsto en el Anexo II o en documento equivalente.
2.16. Cuando una persona interesada ejerza un DERECHO (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los “Derechos”), ante el ENCARGADO del Tratamiento, éste debe comunicarlo a MUTUALIA con la mayor prontitud. La comunicación debe hacerse de forma inmediata a MUTUALIA, y en ningún caso más allá de 3 días hábiles siguientes al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho y atendiendo a lo dispuesto en el RGPD y en la LOPDGDD en lo concerniente al derecho solicitado.
2.17. El ENCARGADO de Tratamiento asistirá a MUTUALIA, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los EJERCICIOS DE DERECHOS.
2.18. El ENCARGADO de Tratamiento deberá colaborar con MUTUALIA en el cumplimiento de sus obligaciones en materia de (i) implementación de MEDIDAS DE SEGURIDAD, (ii) comunicación y/o notificación de BRECHAS/VIOLACIONES DE SEGURIDAD (logradas e intentadas) a las autoridades competentes o a las personas interesadas, y (iii) colaborar en la realización de EVALUACIONES DE IMPACTO relativas a la protección de datos personales y (iv) CONSULTAS PREVIAS al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, el ENCARGADO de Tratamiento pondrá a disposición de MUTUALIA, a requerimiento de esta, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este documento y demás documentos contractuales; y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el personal designado por MUTUALIA.
2.19. En los casos en que la normativa así lo exija (art. 30.5 RGPD), el ENCARGADO de Tratamiento deberá llevar, por escrito, de conformidad con lo previsto en el artículo 30.2 RGPD un REGISTRO de todas las categorías de actividades de tratamiento efectuadas por cuenta de MUTUALIA (RESPONSABLE del Tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.
2.20. El ENCARGADO de Tratamiento deberá disponer de EVIDENCIAS que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de RESPONSABILIDAD PROACTIVA, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías; que habrá de poner a disposición de MUTUALIA a requerimiento de esta. Asimismo, durante la vigencia del contrato, tendrá a disposición de MUTUALIA toda información, certificaciones y auditorías realizadas en cada momento en relación a la protección de los datos personales que trata por cuenta de MUTUALIA.
2.21. DERECHO DE INFORMACIÓN: El ENCARGADO del tratamiento, en el momento de la recogida de los datos, deberá facilitar a las personas interesadas titulares de los mismos la información relativa a los tratamientos de datos que se van a realizar. MUTUALIA podrá revisar los textos y el formato en que se facilitará la información.
2.22. El ENCARGADO de Tratamiento atenderá a las obligaciones que le sean de aplicación correspondientes a lo dispuesto en el TÍTULO X de la LOPDGDD, especialmente los conectados con los derechos de los titulares de los datos, intimidad de las personas y derechos digitales.
3. Sub-encargos de tratamiento asociados a Subcontrataciones
3.1. Cuando los documentos de contratación permitan la subcontratación de actividades del mismo, y en caso de que la empresa adjudicataria o proveedora pretenda subcontratar con terceros la ejecución del contrato; y para el caso de que el subcontratista, si fuera contratado, debiera acceder a Datos Personales de los cuales es RESPONSABLE MUTUALIA, el adjudicatario lo pondrá en conocimiento previo de MUTUALIA, identificando qué tratamiento de datos personales conlleva, para que MUTUALIA decida, en su caso, si otorgar o no su autorización a dicha subcontratación, o el tratamiento de los datos por tal subcontratista.
3.2. En todo caso, para autorizar la subcontratación, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde a MUTUALIA la decisión de si otorgar, o no, dicho consentimiento):
3.2.1. Que el tratamiento de datos personales por parte del subcontratista se ajuste a la legalidad vigente, lo contemplado en los documentos contractuales que rigen el objeto del contrato este pliego y a las instrucciones de MUTUALIA.
3.2.2. Que el proveedor adjudicatario y la empresa subcontratista formalicen a su vez un contrato de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente pliego, el cual será puesto a disposición de MUTUALIA a su solicitud, para verificar su existencia y contenido.
3.2.3. El proveedor adjudicatario informará a MUTUALIA de cualquier cambio previsto en la incorporación o sustitución de otros subcontratistas, dando así a MUTUALIA la oportunidad de
otorgar el consentimiento previsto en esta cláusula. La no respuesta de MUTUALIA a dicha solicitud por el contratista equivale a oponerse a dichos cambios.
4. Información
4.1. Los datos de carácter personal serán tratados por MUTUALIA para ser incorporados a sus sistemas de información, cuya finalidad es la tramitación de los expedientes de contratación y gasto y la formalización, desarrollo y ejecución del contrato.
4.2. Para el cumplimiento de obligaciones legales de MUTUALIA, los datos de carácter personal podrán ser comunicados a Administraciones Públicas, Juzgados y Tribunales o cualesquiera otras personas o entidades en los casos en los que MUTUALIA está legalmente obligada/amparada.
4.3. Los datos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, conforme a la legislación vigente.
4.4. Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante MUTUALIA, 00000 XXXXXX, calle Xxxxx, nº 26.
5. Disposiciones finales
5.1. El presente documento y todo su clausulado; y las obligaciones en él establecidas, así como el Anexo I relativo al Tratamiento de Datos Personales constituyen el contrato de encargo de tratamiento entre MUTUALIA y el adjudicatario a que hace referencia el artículo 28.3 RGPD. Las obligaciones y prestaciones que aquí se contienen no son retribuibles ni generan derechos u obligaciones económicos distintas de las contempladas en los documentos contractuales del propio objeto principal del contrato del servicio cuya ejecución requiere el tratamiento de datos por encargo de MUTUALIA.
5.2. Lo previsto en el presente documento y demás documentos contractuales tendrán la misma duración que la prestación del servicio, prorrogándose en su caso por períodos iguales a éste.
No obstante, a la finalización del contrato, el deber xx xxxxxxx continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del contrato.
5.3. Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a ningún otro Dato Personal responsabilidad de MUTUALIA, y por tanto no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en el Anexo I “Tratamiento de Datos Personales.
5.4. En caso de ser necesario y producirse ACCESOS REMOTOS por el ENCARGADO de Tratamiento a los sistemas de información de MUTUALIA, el ENCARGADO de Tratamiento se obliga a no aprovechar el acceso o tratamiento que pudiera tener a datos de carácter personal por razón del servicio que presta para usarlos, tratarlos o cederlos con infracción de la legislación vigente en esta materia, ni para fines
distintos de aquellos que sean precisos para propiciar el desarrollo y cumplimiento del servicio prestado, siguiendo estrictamente las instrucciones de MUTUALIA como RESPONSABLE de Tratamiento.
5.5. En lo concerniente a las personas fallecidas cuyos datos personales fueran objeto de tratamiento en esta relación, se atenderá lo dispuesto en el RGPD y en la LOPDGDD.
5.6. En los supuestos en los que, en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la EMPRESA PROVEEDORA, esta, ADEMÁS DE SER ENCARGADODE TRATAMIENTO deba desempeñar TAMBIÉN la condición jurídica y obligaciones como RESPONSABLE DE TRATAMIENTO de los datos que trata en ejecución del contrato objeto del servicio, deberá comunicarlo a MUTUALIA y cumplir adecuadamente las obligaciones que la normativa le imponga también como RESPONSABLE de Tratamiento.
5.7. En los supuestos en los que la ejecución del contrato que vincula a MUTUALIA con la empresa adjudicataria o proveedora NO REQUIERA NINGÚN TIPO DE TRATAMIENTO, por esta última, DE DATOS PERSONALES DE LOS QUE ES RESPONSABLE MUTUALIA, no obstante esta circunstancia, la empresa adjudicataria proveedora deberá velar, e instruir lo preciso, para que todas sus personas empleadas o colaboradoras, que trabajen o entren en contacto con la organización, personas, instalaciones, edificios, dependencias de MUTUALIA guarden la debida y máxima CONFIDENCIALIDAD y DEBER XX XXXXXXX en relación a cualquier información o dato personal del que puedan tener eventual u ocasional conocimiento, incluso aunque lo haya conocido involuntariamente de buena fe.
5.8. MUTUALIA para estos casos se reserva el derecho a exigir de la empresa proveedora, o de sus personas empleadas o colaboradoras que presten servicios en sus las instalaciones de la Mutua, un compromiso escrito de confidencialidad y xx xxxxxxx.
5.9. MUTUALIA se reserva el derecho a ejercitar todas las acciones penales, civiles, laborales o administrativas que le amparen para exigir las responsabilidades oportunas en caso de incumplimiento de los deberes de confidencialidad y secreto.
En a de de
Mutualia EMPRESA
ANEXO I “TRATAMIENTO DE DATOS PERSONALES”
Descripción general del tratamiento de Datos Personales a efectuar | |
Descripción del servicio y del tratamiento de datos personales (naturaleza, finalidad y objeto del tratamiento) | |
Categorías de datos tratados | |
Datos Personales del tratamiento | |
D.N.I./N.I.F. | |
NOMBRE Y APELLIDOS | |
DIRECCION POSTAL | |
FECHA NACIMIENTO, | |
Señalar las | CORREO ELECTRONICO |
categorías de dat | TELEFONO |
FIRMA AUTÓGRAFA/DIGITAL | |
NACIONALIDAD | |
IMAGEN | |
BIOMETRICOS | |
PATRONES/PERFILES DE COMPORTAMIENTO | |
SALUD | |
ECONOMICOS, FINANCIEROS o de ASEGURAMIENTO | |
OTROS DATOS (reseñar)………………………………………………………………………………… | |
……………………………………………………………………………………………………………………………………… | |
Elementos del tratamiento de datos personales (marcar los que procedan) | |||
Recogida (captura de datos) | Registro (grabación) | Estructuración | Modificación |
Conservación (almacenamiento) | Extracción | Consulta | Cesión |
Difusión | Interconexión (cruces) | Cotejo | Limitación |
Supresión | Destrucción (De copias temporales) | Conservación (En sus S.I.) | Otros: |
Duplicado | Copia (temporales) | Copia de seguridad | Recuperación |
Medidas de seguridad (mínimas) | |
Los datos personales deben protegerse empleando las medidas necesarias para evitar que dichos datos pierdan su razonable CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD. Se deben implantar, al menos, las medidas de seguridad descritas a continuación: | |
Segregación de roles según confidencialidad del dato | |
Medidas tecnológicas que limitan accesibilidad a la información en base a los permisos | |
Listado de usuarios con acceso a la información. Actualización del listado | |
Acceso controlado por contraseñas: actualización anual, contraseña fuerte | |
Registro especial de accesos a categorías especiales de datos (si es el caso) | |
Restricción o control de accesos/grabación de datos en la nube | |
Restricción de uso de soportes de memoria extraíbles (pendrives, DVDs y similares) | |
Medidas de control de acceso a instalaciones y dependencias | |
Los servidores, en su caso, protegido por dispositivos de apertura y designación de persona RESPONSABLE | |
Espacios físicos y armarios con datos soportes físicos con confidenciales protegido por dispositivos de apertura, inventariados y con persona RESPONSABLE | |
Política implantada de "mesas limpias" | |
Disponer de medidas para cifrar la información con datos sensibles cuando se envía por e-mail o similar | |
Salvo excepciones justificadas, proteger con contraseña el acceso a información personal contenida en dispositivos portátiles. | |
Conservar los datos personales sólo durante la duración del contrato salvo excepción legal (bloquear) | |
La información con datos confidenciales en papel se destruye de manera segura cuando deja de ser necesaria | |
Copias de seguridad con frecuencia semanal, mínima | |
Antivirus actualizado y con escaneos periódicos | |
Sistema operativo (Ejemp: Windows) permanentemente actualizado | |
El acceso desde el exterior de la red a los Sistemas de Información está protegido con identificación de usuario y comunicaciones cifradas | |
Si existe un WIFI de empresa, tiene medidas de seguridad | |
Formación periódica a las personas empleadas sobre la confidencialidad de los datos y la seguridad | |
Las personas empleadas que acceden a datos personales firman compromisos escritos de confidencialidad | |
Se dispone de un procedimiento para gestionar solicitudes de ejercicio de derechos de interesados | |
Se dispone de un procedimiento para comunicar solicitudes de ejercicio de derechos al RESPONSABLE del Tratamiento | |
Se tiene designado un Delegado de Protección de Datos, en caso de ser necesario | |
Se realiza la subcontratación conforme a las instrucciones del contrato | |
Incidentes de seguridad. Se dispone de procedimientos de actuación para tratarlos y comunicarlo al | |
RESPONSABLE de Seguridad | |
Existe un procedimiento que incluya la revisión de cumplimiento periódica | |
Realiza auditorías de protección de datos |
ANEXO II
MODELO DE NOTIFICACIÓN DE VIOLACIONES/BRECHAS DE SEGURIDAD
Fecha de notificación: / / / _/ | Notificación nº: _ |
Fecha y hora de la violación de seguridad: | |
Descripción de la naturaleza de la violación de la seguridad: | |
Descripción detallada de la violación: | |
Número aproximado de afectados | |
Categorías de datos afectados | |
Número aproximado de registros afectados | |
Datos del Delegado de Protección de Datos o RESPONSABLE de Seguridad: | |
Persona(s) a quien(es) se comunica: | |
Efectos que puede producir: (En caso de no subsanación o incluso independientemente de ella) | |
Medidas adoptadas para reparar el daño: | |
Persona(s) que realiza(n) la notificación: Fdo.: _ | |