ANEXO I

ACUERDO DE ENCARGO DE TRATAMIENTO PROTECCIÓN DE DATOS PERSONALES

La Fundación Real Madrid que suscribe un Convenio de Colaboración con el Ayuntamiento de Madrid para el desarrollo de “Programas Sociodeportivos para la inclusión social de personas y colectivos en situación de vulnerabilidad o exclusión social” y el personal a su servicio en la prestación del Programa del Convenio, tal y como se define en el artículo 4.8) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, están obligados en su calidad de encargados de tratamiento de datos personales por cuenta de la Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, responsable del tratamiento, al cumplimiento de lo dispuesto en dicho Reglamento, así como de las disposiciones que en materia de protección de datos se encuentren en vigor a la adjudicación del convenio que puedan estarlo durante su vigencia.

1. OBJETO DEL ENCARGO DE TRATAMIENTO

Mediante las presentes cláusulas se habilita a la Fundación Real Madrid, encargada del tratamiento, para tratar por cuenta de la Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, responsable del tratamiento, los datos de carácter personal necesarios para desarrollar programas Sociodeportivos dirigidos a personas y colectivos en situación de vulnerabilidad o exclusión social, destinatarios de las diferentes actuaciones realizadas desde la Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, y que tienen como objetivo favorecer sus procesos de Inclusión Social y en concreto son objeto de este tratamiento el Programa específico a desarrollar con los usuarios/as del Centro de Acogida de Personas Sin Hogar Xxxx Xxxx Xxxxx.

Los tratamientos a realizar consisten en; recogida, registro, estructuración, modificación, conservación, extracción, consulta, comunicación por transmisión, difusión, interconexión, cotejo, limitación, supresión, destrucción, y cualquier otro que en el desarrollo del servicio fuese necesario.

2. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento, Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, pone a disposición de la Fundación Real Madrid, encargada del tratamiento, la información que se describe a continuación correspondiente a la actividad de tratamiento Personas Sin Hogar.

Datos de carácter identificativo:

• Datos de características personales.

• Datos de circunstancias sociales.

• Datos academicos y profesionales.

• Datos especialmente protegidos.

3. DURACIÓN

El presente acuerdo tiene una desde la fecha de firma de suscripción del Convenio hasta el 00 xx xxxxxxxxxx xx 0000, xxx xxxxxxxxxxx xx xxxxxxxx por dos años más y hasta el 30 de septiembre de 2021.

Una vez finalice el acuerdo entre el Ayuntamiento y la Comunidad de Madrid, el encargado del tratamiento debe devolver al responsable del tratamiento los datos personales y suprimir cualquier copia que esté en su poder.

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.

El encargado del tratamiento y todo su personal se obliga a:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento conforme al contenido del Programa de actividades sociodeportivas para los usuarios/as del Centro de Acogida de la Red de Personas Sin Hogar Xxxx Xxxx Xxxxx, Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

• La seudonimización y el cifrado de datos personales.

• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

• El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

e) Subcontratación:

No subcontratar ninguna de las prestaciones que formen parte del objeto de este convenio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 48 horas, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

f) Mantener el deber xx xxxxxxx respecto a los datos de carácter personal hechos, informaciones, conocimientos, documentos y otros elementos a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto, sin que pueda conservar copia o utilizarlos para cualquier finalidad distinta a las expresamente recogidas en el presente pliego, incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente. Igualmente, deberá informar a sus empleados de que sólo pueden tratar la información del Ayuntamiento para cumplir los servicios objeto de este pliego y también de la obligación de no hacer públicos, ceder o enajenar cuantos datos conozcan. Esta obligación subsistirá aún después de la finalización del convenio

La entidad adjudicataria deberá formar e informar a su personal de las obligaciones que en materia de protección de datos sean necesarias cumplir en el desarrollo de sus tareas para la prestación del convenio, en especial las derivadas del deber xx xxxxxxx, respondiendo la empresa adjudicataria personalmente de las infracciones legales en que por incumplimiento de sus empleados se pudiera incurrir.

El adjudicatario y su personal, durante la realización de los servicios que se presten como consecuencia del cumplimiento del convenio estarán sujetos al estricto cumplimiento de los documentos de seguridad de las dependencias municipales en las que se desarrolle su trabajo.

g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. (Si existe una obligación de confidencialidad de naturaleza estatutaria deberá quedar constancia expresa de la naturaleza y extensión de esta obligación.)

Deberá incluir una cláusula de confidencialidad y secreto en los términos descritos en los contratos laborales que suscriban los trabajadores destinados a la prestación del servicio objeto del presente pliego.

Dicho compromiso afecta tanto a la Fundación Real Madrid, adjudicataria como a los participantes y colaboradores en el proyecto y se entiende circunscrito tanto al ámbito interno de la empresa como al ámbito externo de la misma. El Ayuntamiento de Madrid se reserva el derecho al ejercicio de las acciones legales oportunas en caso de que bajo su criterio se produzca un incumplimiento de dicho compromiso.

h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición

2. Limitación del tratamiento

3. Portabilidad de datos

4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k) Derecho de información

El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.

l) Notificaciones de violaciones de la seguridad de los datos

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas y a través de email o cualquier otro medio que garantice la notificación, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Corresponde al encargado del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

La comunicación contendrá, como mínimo, la información siguiente:

b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

o) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

p) Asistir al responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del Reglamento (UE) 2016/679, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.

q) Así mismo informará inmediatamente al responsable del tratamiento si una instrucción infringe el Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

r) Implantar Las medidas de seguridad establecidas en el Tratamiento de Datos de RMI para personas sin Hogar. En todo caso, deberá implantar mecanismos para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d) Xxxxxxxxxxxx y cifrar los datos personales, en su caso.

La Fundación Real Madrid, al igual que su personal, se someterá a las normas de seguridad vigentes en el Ayuntamiento de Madrid para cada uno de los ficheros a los que tengan acceso, e igualmente a las especificaciones e instrucciones de los responsables de seguridad en materia de protección de datos de cada una de las dependencias municipales afectadas.

Los diseños, desarrollos o mantenimientos de software deberán, con carácter general, observar los estándares que se deriven de la normativa de seguridad de la información y de protección de datos

Aportará una memoria descriptiva de las medidas que adoptará para garantizar la seguridad, confidencialidad e integridad de los datos manejados y de la documentación facilitada.

Asimismo, el adjudicatario deberá informar al organismo contratante, antes de transcurridos siete días de la fecha de comunicación de la adjudicación, la persona que será directamente responsable de la puesta en práctica y de la inspección de dichas medidas de seguridad, adjuntando su perfil profesional.

s) Propiedad de los datos

Todos los datos personales que se traten o elaboren por la Fundación Real Madrid como consecuencia de la prestación del servicio, así como los soportes del tipo que sean en los que se contengan son propiedad del Ayuntamiento de Madrid.

En la medida que la Fundación Real Madrid aporta equipos informáticos para la prestación del servicio objeto delconvenio, una vez finalizadas las tareas, el adjudicatario previamente a retirar los equipos informáticos, deberá borrar toda la información utilizada o que se derive de la ejecución del programa, mediante el procedimiento técnico adecuado, o proceder a su entrega al responsable del fichero. La destrucción de la documentación de apoyo, si no se considerara indispensable por el Ayuntamiento habiéndolo comunicado por escrito, se efectuará mediante máquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, efectuándose esta operación en el lugar donde se realicen los trabajos. Igualmente, deberá adoptar las medidas necesarias para impedir la recuperación posterior de información almacenada en soportes que vayan a ser desechados o reutilizados.

t) Destino de los datos al finalizar el Convenio.

Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

u) El Ayuntamiento de Madrid se reserva el derecho de efectuar en cualquier momento los controles y auditorías que estime oportunos para comprobar el correcto cumplimiento por parte del adjudicatario de sus obligaciones, el cual está obligado a facilitarle cuantos datos o documentos le requiera para ello.

v) El incumplimiento por parte del adjudicatario de las estipulaciones del presente acuerdo lo convierten en responsable del tratamiento respondiendo directamente de las infracciones en que hubiera incurrido, así como del pago del importe íntegro de cualquier sanción que, en materia de protección de datos de carácter personal, pudiera ser impuesta al Ayuntamiento de Madrid, así como de la totalidad de los gastos, daños y perjuicios que sufra el Ayuntamiento de Madrid como consecuencia de dicho incumplimiento.

ANEXO II

ACUERDO DE ENCARGO DE TRATAMIENTO PROTECCIÓN DE DATOS PERSONALES

La Fundación Real Madrid que suscribe un Convenio de Colaboración con el Ayuntamiento de Madrid para el desarrollo de Programas Sociodeportivos para la Inclusión Social y personas y colectivos en situación de vulnerabilidad o exclusión social, y el personal a su servicio en la prestación del Programa del Convenio,, tal y como se define en el artículo 4.8) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, están obligados en su calidad de encargados de tratamiento de datos personales por cuenta de la Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, responsable del tratamiento, al cumplimiento de lo dispuesto en dicho Reglamento, así como de las disposiciones que en materia de protección de datos se encuentren en vigor a la adjudicación del contrato o que puedan estarlo durante su vigencia.

1. OBJETO DEL ENCARGO DE TRATAMIENTO

Mediante las presentes cláusulas se habilita a la Fundación Real Madrid, encargada del tratamiento, para tratar por cuenta de la Dirección General de Atención Primaria, Intervención Comunitaria y Emergencia Social, responsable del tratamiento, los datos de carácter personal necesarios para prestar un servicio consistente en el desarrollo de “Programas Sociodeportivos para la Inclusión Social de personas y colectivos en situación de vulnerabilidad o exclusión social” y en lo que se refiere a este acuerdo de encargo a el Programa dirigido a los/as menores residentes en los Centros de Valdelatas y San Xxxxx y las actuaciones de coordinación para la incorporación de los/las menores del extinto núcleo chabolista de “EL Gallinero” que durante el curso escolar 2017/2018 asistieron a los escuelas sociodeportivas en el marco de un Convenio específico con la Fundación Real Madrid ya extinto, y realojados con sus familias en viviendas, en las escuelas sociodeportivas que esta entidad tiene en los diferentes distritos municipales.

2. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Datos de carácter identificativo:

• Datos de características personales.

• Datos de circunstancias sociales.

• Datos académicos y profesionales.

• Datos especialmente protegidos.

3. DURACIÓN

El presente acuerdo tiene una vigencia desde la fecha de firma de suscripción del Convenio hasta el 00 xx xxxxxxxxxx xx 0000, xx xxxxx xx xxxxxxxxxxx xx xxxxxxxx hasta un máximo de 2 años, siendo el plazo máximo de vigencia hasta el 30 de septiembre de 2021.

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.

El encargado del tratamiento y todo su personal se obliga a:

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento conforme al contenido de los Programas Sociodeportivos para la Inclusión Social que desarrollen con los menores residentes en los Centros de Valdelatas y San Xxxxx y las actuaciones de coordinación para la incorporación de los menores del extinto núcleo chabolista de “EL Gallinero” que durante el curso escolar 2017/2018 asistieron a los escuelas sociodeportivas en el marco de un Convenio específico con la Fundación Real Madrid ya extinto, en las escuelas sociodeportivas que esta entidad tiene en los diferentes distritos municipales.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

• La seudonimización y el cifrado de datos personales.

• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

• El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

e) Subcontratación:

identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad...) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

f) Mantener el deber xx xxxxxxx respecto a los datos de carácter personal hechos, informaciones, conocimientos, documentos y otros elementos a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto, sin que pueda conservar copia o utilizarlos para cualquier finalidad distinta a las expresamente recogidas en el texto del Convenio, incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente. Igualmente, deberá informar a sus empleados de que sólo pueden tratar la información del Ayuntamiento para cumplir los servicios objeto de este pliego y también de la obligación de no hacer públicos, ceder o enajenar cuantos datos conozcan. Esta obligación subsistirá aún después de la finalización del convenio.

La entidad adjudicataria deberá formar e informar a su personal de las obligaciones que en materia de protección de datos sean necesarias cumplir en el desarrollo de sus tareas para la prestación de los programas incluidos en el Convenio, en especial las derivadas del deber xx xxxxxxx, respondiendo la empresa adjudicataria personalmente de las infracciones legales en que por incumplimiento de sus empleados se pudiera incurrir.

La Fundación Real Madrid y su personal, durante la realización de los servicios que se presten como consecuencia del cumplimiento del Convenio estarán sujetos al estricto cumplimiento de los documentos de seguridad de las dependencias municipales en las que se desarrolle su trabajo.

Dicho compromiso afecta tanto a la entidad Fundación Real Madrid como a los participantes y colaboradores en el proyecto y se entiende circunscrito tanto al ámbito interno de la entidad como al ámbito externo de la misma. El Ayuntamiento de Madrid se reserva el derecho al ejercicio de las acciones legales oportunas en caso de que bajo su criterio se produzca un incumplimiento de dicho compromiso.

h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición

2. Limitación del tratamiento

3. Portabilidad de datos

4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección xxxxxxxxxxx@xxxxxx.xx y/o xxxxxxxxxxxxxxxxxxx@xxxxxx.xx . La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k) Derecho de información

l) Notificaciones de violaciones de la seguridad de los datos

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Corresponde al encargado del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

La comunicación contendrá, como mínimo, la información siguiente:

b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

Implantar Las medidas de seguridad establecidas en el Tratamiento de Datos “Acciones de Inclusión Social para personas en situacion de vulnerabilidad y exclusión social”.

r) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

a) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

b) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

c) Xxxxxxxxxxxx y cifrar los datos personales, en su caso.

Aportará una memoria descriptiva de las medidas que adoptará para garantizar la seguridad, confidencialidad e integridad de los datos manejados y de la documentación facilitada.

s) Propiedad de los datos

Todos los datos personales que se traten o elaboren por la Entidad como consecuencia de la prestación del servicio, así como los soportes del tipo que sean en los que se contengan son propiedad del Ayuntamiento de Madrid.

En la medida que el adjudicatario aporta equipos informáticos para la prestación del servicio objeto del Convenio, una vez finalizadas las tareas, el adjudicatario previamente a retirar los equipos informáticos, deberá borrar toda la información utilizada o que se derive de la ejecución del servicio, mediante el procedimiento técnico adecuado, o proceder a su entrega al responsable del fichero. La destrucción de la documentación de apoyo, si no se considerara indispensable por el Ayuntamiento habiéndolo comunicado por escrito, se efectuará mediante máquina destructora de papel o cualquier otro medio que garantice la ilegibilidad, efectuándose esta operación en el lugar donde se realicen los trabajos.

Igualmente, deberá adoptar las medidas necesarias para impedir la recuperación posterior de información almacenada en soportes que vayan a ser desechados o reutilizados.

t) Destino de los datos al finalizar el Convenio.

Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Document Metadata

Table of Contents

ANEXO I

Document Metadata