ANEXO 1. CONTRATO DE ENCARGADO DE TRATAMIENTO.

ANEXO 1. CONTRATO DE ENCARGADO DE TRATAMIENTO.

Clausula 13. CONFIDENCIALIDAD DE LOS TRABAJOS Y PROTECCIÓN DE DATOS

Todos los datos manejados por la persona o entidad adjudicataria a causa de la prestación de los trabajos serán propiedad del Ayuntamiento xx Xxxxxxxx, sin que la empresa adjudicataria pueda utilizarlos con un fin distinto al que figura en el contrato de servicios.

La empresa adjudicataria, como encargada del tratamiento de los datos, quedará obligada al cumplimiento de lo dispuesto en los artículos 5 y 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

-Deberá guardar la debida confidencialidad y secreto sobre los hechos, informaciones, conocimientos, documentos y otros elementos a los que tenga acceso con motivo de la prestación del servicio, sin que pueda conservar copia o utilizarlos para cualquier finalidad, incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente.

-Informará a sus empleados/as de que solo pueden tratar la información del Ayuntamiento para cumplir los servicios objeto de este y también de la obligación de no hacer públicos, ceder o enajenar cuantos datos conozcan.

-Incluirá una cláusula, de confidencialidad y secreto en los términos descritos, en contratos laborales que suscriban los/as trabajadores/as destinados/as a la prestación servicio objeto del presente pliego. Todos los documentos que se generen a lo largo contrato tienen carácter confidencial y no podrán ser total o parcialmente reproducidos.

Clausula 15. DATOS DE CARÁCTER PERSONAL.

La empresa adjudicataria quedará obligada al cumplimiento de lo dispuesto en la legislación vigente sobre protección de datos de carácter personal como queda descrito en el anexo final de esta ficha técnica, “CLAUSULADO CONFIDENCIALIDAD”.

CLAUSULADO CONFIDENCIALIDAD, REUTILIZACIÓN DE INFORMACIÓN (DATOS ABIERTOS) Y PROTECCIÓN DE DATOS PARA LOS PLIEGOS DE CONTRATACIÓN.

1. Confidencialidad.

El Ayuntamiento xx Xxxxxxxx no podrá divulgar la información facilitada por los licitadores que estos hayan designado como confidencial en el momento de presentar su oferta. El carácter de confidencial afecta, entre otros, a los secretos técnicos o comerciales, a los aspectos confidenciales de las ofertas y a cualesquiera otras informaciones cuyo contenido pueda ser utilizado para falsear la competencia, ya sea en ese procedimiento de licitación o en otros posteriores.

2. Reutilización de información y datos abiertos.

En cumplimiento de lo dispuesto en el Capítulo III de la Ordenanza sobre Transparencia y Libre Acceso a la Información del Ayuntamiento xx Xxxxxxxx, toda la información publicada o puesta a disposición por el Ayuntamiento será

reutilizable sin necesidad de autorización previa, salvo que en ella se haga constar expresamente lo contrario.

Para garantizar la efectiva liberación de los conjuntos de datos vinculados a la prestación del servicio, el adjudicatario deberá proporcionar, a lo largo de toda la vigencia del contrato, la información (relativa a la prestación de servicios públicos o al ejercicio de potestades administrativas) que el Ayuntamiento xx Xxxxxxxx considere que ha de ser publicada de acuerdo con lo dispuesto en la mencionada Ordenanza. La información que se facilite deberá cumplir con los criterios de apertura de datos y reutilización establecidos en la misma.

La reutilización de información que contenga datos de carácter personal se regirá por lo dispuesto en el RGPD, tal como establecen tanto la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. Sólo se permitirá la publicación de la información previa disociación de los datos de carácter personal que pueda contener.

En particular, será considerado como Información Confidencial todo el “know how” o saber hacer resultante de la ejecución de los servicios contratados, debiendo el adjudicatario mantener dicha información en reserva y secreto y no revelarla de ninguna forma, en todo o en parte, a ninguna persona física o jurídica que no sea parte del contrato.

El adjudicatario se comprometerá a mantener en secreto todos los datos e informaciones facilitados por el Ayuntamiento xx Xxxxxxxx y que sean concernientes a la prestación del servicio objeto de este pliego de contratación. El adjudicatario, así como todas las personas que intervengan en cualquier fase de la prestación del servicio contratado (ejecución del contrato) estarán sujetos al deber de confidencialidad al que se refiere el artículo 5.1 f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD). Este deber de confidencialidad se mantendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que el contrato establezca un plazo mayor que, en todo caso, deberá ser definido y limitado en el tiempo. Esta obligación general será complementaria de los deberes xx xxxxxxx profesional de conformidad con su normativa aplicable.

3. Protección de datos de carácter personal

3.1. Normativa.

De conformidad con la Disposición adicional 25a de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, los contratos que impliquen el tratamiento de datos de carácter personal deberán respetar en su integridad el RGPD y la normativa complementaria.

Para el caso de que la contratación implique el acceso del adjudicatario a datos de carácter personal de cuyo tratamiento sea responsable el Ayuntamiento xx Xxxxxxxx, aquél tendrá la consideración de encargado del tratamiento. En este supuesto el acceso a esos datos no se considerará comunicación de datos y deberá cumplir lo previsto en el artículo 28 del RGPD. En todo caso, las previsiones de dicho artículo deberán constar por escrito.

3.2 Tratamiento de datos personales.

Por tanto, sobre el Ayuntamiento xx Xxxxxxxx recaen las responsabilidades del Responsable del Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento.

Si el adjudicatario destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del contrato y/o la normativa vigente, será considerado también como Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Este apartado describe en detalle el acceso y tratamiento de los datos de carácter personal y las medidas a implementar por el adjudicatario para la prestación del servicio contratado.

El adjudicatario deberá detallar en su oferta el objeto, la naturaleza y la finalidad del tratamiento, y deberá conocer el tipo de datos personales y categorías de interesados a los que pueda acceder y tratar para la prestación del servicio. El adjudicatario deberá indicar los elementos del tratamiento a realizar para la prestación del servicio (Recogida o captura de datos, Registro o grabación, Estructuración, Modificación, Conservación o almacenamiento, Extracción, Consulta, Cesión, Difusión, Interconexión (cruce), Cotejo, Limitación, Supresión, Destrucción (de copias temporales), Conservación (en sus sistemas de información), Duplicado, Copia (copias temporales), Copia de seguridad, Recuperación).

El personal adscrito al adjudicatario sólo podrá tratar datos personales para proporcionar los servicios establecidos en el pliego con el único fin de efectuar la prestación de dichos servicios.

En caso de que como consecuencia de la ejecución del contrato resultara necesario en algún momento la modificación de lo estipulado en este apartado, el adjudicatario lo requerirá razonadamente y señalará los cambios que solicita. En caso de que el Ayuntamiento xx Xxxxxxxx estuviese de acuerdo con lo solicitado emitiría un Anexo “Tratamiento de Datos Personales” actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.

Ello conlleva que el adjudicatario actuará en calidad de encargado del tratamiento (Encargado del Tratamiento) y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, tratando y protegiendo debidamente los datos de carácter personal a los que acceda y trate necesarios para la ejecución del contrato.

Para el cumplimiento del objeto de este pliego, el adjudicatario deberá tratar los datos personales de los cuales el Ayuntamiento xx Xxxxxxxx es responsable de su tratamiento (Responsable del Tratamiento) de la manera que se especifica en este apartado.

3.3 Estipulaciones como Encargado de Tratamiento.

De conformidad con lo previsto en el artículo 28 del RGPD, el adjudicatario se obliga a y garantizar el cumplimiento de las siguientes obligaciones:

Tratar los Datos Personales conforme a las instrucciones documentadas en el presente Pliego o demás documentos contractuales aplicables a la ejecución del contrato y aquellas que, en su caso, reciba del Ayuntamiento xx Xxxxxxxx por escrito en cada momento.

a) El adjudicatario informará inmediatamente al Ayuntamiento xx Xxxxxxxx cuando, en su opinión, una instrucción sea contraria a la normativa de protección de Datos Personales aplicable en cada momento.

b) No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del objeto del Contrato.

c) Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.

d) Xxxxxxxx la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del contrato, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del adjudicatario, siendo deber del adjudicatario instruir a las personas que de él dependan, de este deber xx xxxxxxx, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación.

e) Llevar un listado de personas autorizadas para tratar los Datos Personales objeto de este pliego y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición del Ayuntamiento xx Xxxxxxxx dicha documentación acreditativa.

f) Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.

g) Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación.

h) Nombrar Delegado de Protección de Datos, en caso de que sea necesario según el RGPD, y comunicarlo a la AEPD, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el adjudicatario como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.

i) Una vez finalizada la prestación contractual objeto del presente Xxxxxx, se compromete, según corresponda, a devolver o destruir (i) los Datos Personales a los que haya tenido acceso; (ii) los Datos Personales generados por el adjudicatario por causa del tratamiento; y (iii) los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El Encargado del Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En este último caso, los Datos Personales se conservarán

bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.

j) Según corresponda, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/ dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que se especifiquen, los cuales podrán estar bajo el control del Ayuntamiento xx Xxxxxxxx o bajo el control directo o indirecto del adjudicatario, u otros que hayan sido expresamente autorizados por escrito por el Ayuntamiento xx Xxxxxxxx, según se establezca en dicho Anexo en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de esta Memoria.

k) Salvo que se indique otra cosa o se instruya así expresamente por el Ayuntamiento xx Xxxxxxxx a tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en este Pliego o demás documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

En el caso de que por causa de Derecho nacional o de la Unión Europea el adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional de datos, el adjudicatario informará por escrito al Ayuntamiento xx Xxxxxxxx de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables a la AEPD, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.

l)De conformidad con el artículo 33 RGPD, comunicar a AEPD, de forma inmediata a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.

m)Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los “Derechos”), ante el Encargado del Tratamiento, éste debe comunicarlo al Ayuntamiento xx Xxxxxxxx con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.

Asistirá al Ayuntamiento xx Xxxxxxxx, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.

n)Colaborar con el Ayuntamiento xx Xxxxxxxx en el cumplimiento de sus obligaciones en materia de (i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y (iii) colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.

Asimismo, pondrá a disposición del Ayuntamiento xx Xxxxxxxx, a requerimiento de esta, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este Pliego y demás documentos contractuales y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el Ayuntamiento xx Xxxxxxxx.

ñ) En los casos en que la normativa así lo exija (ver art. 30.5 RGPD), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del RGPD un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Ayuntamiento xx Xxxxxxxx (Responsable del tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.

o) Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Ayuntamiento xx Xxxxxxxx a requerimiento de esta. Asimismo, durante la vigencia del contrato, pondrá a disposición del Ayuntamiento xx Xxxxxxxx toda información, certificaciones y auditorías realizadas en cada momento. digitalmente.

p) Derecho de información: El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.

q) El ofertante deberá detallar en su oferta las medidas de seguridad de las que dispone para tratar y proteger los datos de carácter personal durante este contrato. Las medidas de seguridad aplicadas para proteger los tratamientos de datos personales realizados deberán implantar mecanismos para:

a. Garantizar la confidencialidad, integridad, disponibilidad permanentes de los sistemas y servicios de tratamiento. y resiliencia

b. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d. Seudonimizar y cifrar los datos personales, en su caso.

El ofertante podrá aportar cuantas certificaciones relativas a protección de datos considere oportuno. La falta de aportación del detalle de las medidas de

seguridad supondrá un incumplimiento xx xxxxxx. Así mismo, la manifiesta insuficiencia de las medidas de seguridad aportadas supondrá también un incumplimiento xx xxxxxx.

La presente cláusula y las obligaciones en ella establecidas, constituyen el contrato de encargo de tratamiento entre el Ayuntamiento xx Xxxxxxxx y el adjudicatario a que hace referencia el artículo 28.3 RGPD. Las obligaciones y prestaciones que aquí se contienen no son retribuíbles de forma distinta de lo previsto en el presente pliego y demás documentos contractuales y tendrán la misma duración que la prestación de Servicio objeto de este pliego y su contrato, prorrogándose en su caso por períodos iguales a éste.

No obstante, a la finalización del contrato, el deber xx xxxxxxx continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del contrato.

3.4. Sub-encargos de tratamiento asociados a Subcontrataciones

Cuando el pliego permita la subcontratación de actividades objeto xxx xxxxxx, y en caso de que el adjudicatario pretenda subcontratar con terceros la ejecución del contrato y el subcontratista, si fuera contratado, deba acceder a Datos Personales, el adjudicatario lo pondrá en conocimiento previo del Ayuntamiento xx Xxxxxxxx identificando qué tratamiento de datos personales conlleva, para que éste decida, en su caso, si otorgar o no su autorización a dicha subcontratación.

En todo caso, para autorizar la contratación, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde al Ayuntamiento xx Xxxxxxxx la decisión de si otorgar, o no, dicho consentimiento):

1.Que el tratamiento de datos personales por parte del subcontratista se ajuste a la legalidad vigente, lo contemplado en este pliego y a las instrucciones del Ayuntamiento xx Xxxxxxxx.

2.Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente pliego, el cual será puesto a disposición del Ayuntamiento xx Xxxxxxxx a su mera solicitud para verificar su existencia y contenido.

El adjudicatario informará al Ayuntamiento xx Xxxxxxxx de cualquier cambio previsto en la incorporación o sustitución de otros subcontratistas, dando así al Ayuntamiento xx Xxxxxxxx la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta del mismo a dicha solicitud por el contratista equivale a oponerse a dichos cambios digitalmente.

4. Información básica sobre protección de datos.

Los datos de carácter personal serán tratados por el Ayuntamiento xx Xxxxxxxx para ser incorporados al Registro de Actividades de Tratamiento correspondiente con la gestión de este proyecto del CIPAJ, cuya finalidad es la tramitación de los expedientes de contratación y gasto así como la formalización, desarrollo y ejecución del contrato, necesaria para el cumplimiento de la obligación legal prevista en la Ley de Contratos.

Los datos de carácter personal serán comunicados a entidades financieras, Agencia Estatal de Administración Tributaria, Intervención General de la Administración del Estado, Tribunal de Cuentas, e incluidos en la Plataforma de Contratación del Estado y el Registro Público de Contratos.

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria, además de los periodos establecidos en la normativa de archivos y patrimonio documental español.

Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante el Ayuntamiento xx Xxxxxxxx, Servicio de Juventud, Xxxxx Xxx Xxxxxx, 0 Xxxx-xxxxxxx xx xxx Xxxxxxxx o en la dirección de correo electrónico xxxxx@xxxxxxxx.xx. Para obtener información adicional sobre protección de datos, puede consultar a la Jefatura de Servicio de Juventud.