REUNIDOS
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL EN EL MARCO DEL ENSAYO CLÍNICO CON PROTOCOLO
En Girona, a de de
REUNIDOS
Institut Català de la Salut - Hospital Universitari xx Xxxxxx Xx. Xxxxx Xxxxxx, con domicilio en xxxxxxx xx Xxxxxx x/x, 00000 Xxxxxx, con NIF Q5855029D, representada por Dra. Xxxxxx Xxxxxx Xxxxxxxxxx, mayor de edad, titular de DNI número 00000000X, en su condición de directora (en adelante "Responsable del Tratamiento”.)
Y, de la otra, , con domicilio en
, calle , con NIF , representada por , mayor de edad, titular de DNI número , en su condición de (de ahora en adelante, el "Encargado del Tratamiento").
A veces el Responsable del Tratamiento y el Encargado del Tratamiento pueden ser designados conjuntamente como las "Partes".
Las Partes manifiestan tener la capacidad legal necesaria para subscribir este CONTRATO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL (de
ahora en adelante, el "Contrato”).
EXPONEN
I.- Que el RESPONSABLE DEL TRATAMIENTO ha firmado con el correspondiente promotor un contrato para la realización del ensayo clínico con número de protocolo
(de ahora en adelante, el “Ensayo”).
II.- Que ambas Partes manifiestan que son conscientes de las exigencias previstas en la vigente normativa sobre protección de datos personales y especialmente en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y la libre circulación de estos datos y por el cual se deroga la Directiva 95/46/CE (de ahora en adelante el "Reglamento") y la correspondiente normativa española de desarrollo.
III.- Que para poder desarrollar las funciones propias del monitor establecidas por el Real Decreto 1090/2015, de 4 de diciembre, por el cual se regulan los ensayos clínicos con medicamentos, los Comités de Ética de la Investigación con medicamentos y el Registro Español de Estudios Clínicos (de ahora en adelante,
"RD 1090/2015"), el Encargado del Tratamiento tiene que acceder a datos personales de salud de los participantes en el Ensayo de los cuales lo [*] es el Responsable del Tratamiento.
IV.- Que mediante el presente contrato se habilita al Encargado del Tratamiento para tratar, por cuenta del Responsable del Tratamiento, los datos de carácter personal necesarios para llevar a cabo la actividad indicada en los expositivos anteriores.
De acuerdo con la legislación vigente y teniendo en cuenta las particularidades del encargo concreto, se acuerdan las siguientes:
CLÁUSULAS
1.Objeto
El objeto de este Contrato es habilitar al Encargado del Tratamiento para tratar, en nombre del Responsable del Tratamiento, los datos personales de los sujetos participantes en el Ensayo para poder realizar las funciones de monitorización del mismo de acuerdo con el RD 1090/2015 (de ahora en adelante, el “Tratamiento”).
El Encargado del Tratamiento guardará secreto sobre los datos de carácter personal de los cuales tenga conocimiento por razón de las prestaciones objeto de este Contrato. Todo el personal de la entidad Encargada del Tratamiento que acceda y/o trate datos de carácter personal estará sujeto al secreto profesional y deber de confidencialidad, obligación que continuará vigente una vez finalizada la relación entre las Partes.
2. Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este Contrato, el Responsable del Tratamiento pone a disposición del Encargado del Tratamiento la información de los participantes en el Ensayo indicado en lo exponen de este Contrato.
3. Duración
Este encargo tiene la duración de este contrato de incluidas las prórrogas, que es de meses, a contar desde el más de la prórroga, es decir, hasta lo
4. Obligaciones del encargado del tratamiento
El encargado del tratamiento y todo su personal se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o las que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias.
b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento, que es el ICS.
Si el encargado del tratamiento considera que alguna de las instrucciones infringe la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante LOPDGDD) y el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos y por el cual se deroga la Directiva 95/46/CE (en adelante RGPD), el encargado tiene que informar inmediatamente el responsable.
c) Incorporar los tratamientos que lleva a cabo en ejecución de este encargo a su Registro de las categorías de actividades de tratamiento efectuadas por cuenta del responsable el ICS, con el contenido del artículo 30.2 del RGPD:
1. Datos del responsable del tratamiento:
2. Datos del delegado de protección de datos:
3. Las categorías de tratamientos efectuados por cuenta del responsable.
4. Si procede, las transferencias internacionales de datos personales a un tercer país u organización internacional, incluida la identificación de este país o esta organización internacional, y en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
5. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
• La seudonimización y el cifrado de datos personales.
• La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
• El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas que garantizan la eficacia del tratamiento.
d) No comunicar los datos a terceras personas, salvo que tenga la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado del tratamiento puede comunicar los datos a otros encargados del tratamiento del mismo Responsable del tratamiento, de acuerdo con las instrucciones del Responsable de Tratamiento. En este caso, El responsable del tratamiento tiene que identificar, previamente, la entidad a la cual se tienen que comunicar los datos, los datos a comunicar y las medidas de seguridad que hay que aplicar para proceder a la comunicación.
Si el encargado del tratamiento tiene que transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los estados miembros que le sea aplicable, tiene que informar el responsable de esta
exigencia legal de manera previa, salvo que este derecho lo prohíba por razones importantes de interés público.
e) Xxxxxxxx el deber xx xxxxxxx respecto de los datos de carácter personal a las cuales haya tenido acceso en virtud de este encargo, incluso después de que finalice el objeto.
f) Garantizar que las personas autorizadas para tratar datos personales se comprometen, de forma expresa a seguir las instrucciones del responsable, a respetar la confidencialidad, en los términos que el responsable exija y a cumplir las medidas de seguridad correspondientes, de las cuales hay que informar estas personas autorizadas convenientemente.
g) Mantener a disposición del responsable la documentación que acredita que se cumple la obligación que establece el apartado anterior.
h) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
i) En relación con el ejercicio de los derechos siguientes:
• Acceso
• Rectificación
• Supresión
• Limitación del tratamiento
• Portabilidad de datos
• 6.Oposición (así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles)
Cuando las personas afectadas ejerzan algún de estos derechos, ante el encargado del tratamiento, este lo tiene que comunicar por correo electrónico a la dirección xxxx.xxxxxx.xxx@xxxxxx.xxx. La comunicación se tiene que hacer de forma inmediata y en ningún caso más allá del día siguiente del día hábil en que se ha recibido la solicitud, juntamente, si procede, con otras informaciones que puedan ser relevantes para resolver la solicitud.
j) Derecho de información
El encargado del tratamiento, en el momento de recoger los datos, tiene que facilitar que el responsable informe de los tratamientos de datos que se llevarán a cabo en los términos establecidos por la normativa vigente en materia de protección de datos personales.
K) Notificación de violaciones de la seguridad de los datos
El encargado del tratamiento tiene que informar el responsable del tratamiento, sin más dilación indebida, y a través del correo xxxx.xxxxxx.xxx@xxxxxx.xxx, de las violaciones de la seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia.
Si se dispone, hay que facilitar, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados.
2. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el cual se pueda obtener más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluidas, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se tiene que facilitar de manera gradual sin más dilación indebida.
El encargado del tratamiento asistirá al responsable para que este comunique las violaciones de la seguridad de los datos a la Autoridad Catalana de Protección de Datos (en adelante APDCAT).
El encargado del tratamiento asistirá al responsable porque este pueda comunicar a los interesados, sin más dilación indebida, las violaciones de la seguridad de los datos, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.
La comunicación se tiene que hacer en un lenguaje claro y sencillo y, como mínimo, hace falta:
• Explicar la naturaleza de la violación de datos.
• Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en que se pueda obtener más información.
• Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
• Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluidas, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
• Valorar, conjuntamente con el responsable del tratamiento, si procede la realización de la evaluación de impacto en la protección de datos.
• Valorar, conjuntamente con el responsable del tratamiento, si procede la realización de la consulta previa a la APDCAT.
• Poner a disposición del responsable toda la información necesaria para demostrar que cumple sus obligaciones, así como para permitir y contribuir a la realización de auditorías o las inspecciones que efectúen el responsable u otro auditor autorizado por el responsable.
• Aplicar, conjuntamente con el responsable del tratamiento, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo que, en todo caso, incluya antro otros, las siguientes:
o La seudonimización y el cifrado de los datos personales.
o La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
o La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
o Un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
Si se ha llevado a cabo la evaluación del impacto relativa a la protección de datos, de la cual deriven medidas específicas, y/o si el encargado del tratamiento se ha adherido a un código de conducta o mecanismo de certificación para demostrar el cumplimiento de los requisitos de seguridad en materia de protección de datos, tiene que aplicar estas medidas.
También tiene que adoptar todas aquellas otras medidas que, teniendo en cuenta el conjunto de tratamientos que lleva a cabo, sean necesarias para garantizar un nivel de seguridad adecuado al riesgo.
Designar, de acuerdo con el artículo 34 de la LOPDGDD, un delegado de protección de datos y comunicar la identidad y los datos de contacto al responsable.
l) Destino de los datos
A elección del responsable, suprimir o devolver todos los datos personales una vez haya finalizado la prestación de los servicios de tratamiento, y suprimir las copias existentes salvo que se requiera la conservación de los datos personales en virtud de los supuestos previstos a la LOPDGDD.
ll) Subcontratación
No subcontratar ninguno de las prestaciones que formen parte del objeto de este encargo que comporten el tratamiento de datos personales, sacado de los
servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.
Si hay que subcontratar algún tratamiento, se tiene que comunicar previamente de forma fehaciente al responsable, con una antelación de 15 días. Hay que indicar los tratamientos que se pretende subcontratar e identificar de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación se puede llevar a cabo si el responsable no manifiesta su oposición en un plazo de 10 días.
Los encargados subcontratistas, a los cuales se los son de aplicación las obligaciones de este apartado 4 de este encargo, quedan obligados solo ante el encargado principal que asumirá la responsabilidad total de la ejecución del encargo.
5.Confidencialidad
El adjudicatario se compromete a mantener en secreto todos los datos e informaciones facilitadas y que sean relativas a la prestación del servicio aquí regulado.
En particular, será considerado como información confidencial todo el know-how o saber fiero resultando de la ejecución de los servicios contratados, habiendo el adjudicatario de mantener esta información en reserva y secreto y no revelarla de ninguna forma, en todo o en parte, a ninguna persona física o jurídica que no sea parte del contrato.
6. Notificaciones
Todos los avisos, notificaciones, solicitudes, consentimientos y otros comunicados exigidos en cumplimiento de este Contrato (denominados conjuntamente "Notificaciones") serán formulados por escrito y se tendrán por válidamente realizados cuando consten por un medio que acredite la recepción y el contenido, en las siguientes direcciones:
Por el RESPONSABLE DEL TRATAMIENTO:
Att. Responsable protección de datos
Hospital Universitario Xx. Xxxxx Xxxxxx xx Xxxxxx Xxxxxxxxx Xxxxxxx x/x
00000 Xxxxxx (Xxxxxx) xxxx.xxxxxx.xxx@xxxxxx.xxx
Por el ENCARGADO DE TRATAMIENTO:
Para los actos y comunicaciones de mera gestión, que no produzcan efectos contractuales, será suficiente la remisión por fax o correo electrónico sin firma digital avanzada.
Las Partes podan, en cualquier momento, indicar de la forma antes establecida la sustitución del domicilio indicado al cual enviar todas las Notificaciones que le sean dirigidas.
7.Ley aplicable y jurisdicción competente
El Contrato se regirá e interpretará de acuerdo con la legislación española, y serán competentes para conocer de cualquier conflicto entre las Partes los tribunales de la ciudad xx Xxxxxx.
EN PRUEBA DE CONFORMIDAD, las dos Partes firman el presente contrato, por duplicado y en único efecto, en el lugar y la fecha indicada.
Dra. Xxxxxx Xxxxxx Xxxxxxxxxx
Responsable del tratamiento Encargado del tratamiento