ANEXO I ENCARGO DE TRATAMIENTO

ANEXO I

ENCARGO DE TRATAMIENTO

En Madrid a [Fecha]

REUNIDOS

De una parte, D. / Xx ……………………………………………………………………... en nombre y representación de [NOMBRE DE LA EMPRESA], con sede en [DOMICILIO], y CIF [NÚMERO] (En adelante, Responsable del Tratamiento)

Y de otra, la FUNDACIÓN GENERAL DE LA UNIVERSIDAD COMPLUTENSE DE MADRID, CIF X-00000000, con domicilio en Madrid, calle Doctor Xxxxxx Xxxxx nº 7, 28040 de Madrid, y en su nombre y representación Xxx Xxxxxx Xxxxx Xxxxxx, como Director General según escritura de poder de 19 de julio de 2019, nº 3.538 del protocolo del Xxxxxxx Xxxxxxx de Madrid Xxx Xxxxxx xx Xxxxx x Xxxxxxx, (En adelante Encargado del Tratamiento,)

En adelante, denominados conjuntamente “las partes”.

MANIFIESTAN

1. Que [NOMBRE DE LA EMPRESA] Responsable del Tratamiento se dedica a ………………………………………………….

2. Que, con fecha [……………………], las partes firmaron un Contrato de encomienda de organización de la formación suscrito de acuerdo a lo previsto en el artículo 9.3 y 12 de la Ley 30/2015. De 9 de septiembre, por el que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral (en adelante “Contrato”), acordando la encomienda de la organización de la formación de sus trabajadores a la FGUCM MP, como entidad externa.

3. Que debido a la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos, por el que se deroga la Directiva 95/46/CE, (en adelante “RGPD”), resulta necesario regular la relación contractual entre ambas partes en lo relativo al tratamiento de datos de carácter personal, dada la condición de [NOMBRE DE LA EMPRESA] de Responsable de Tratamiento y la FGUCM MP de Encargado de Tratamiento y a tal fin, las partes acuerdan modificar o actualizar la cláusula de protección de datos del Contrato para recoger los derechos y obligaciones de las Partes conforme al RGPD.

4. Que ambas partes, respecto del citado encargo y en cumplimiento de lo dispuesto por la normativa nacional vigente en materia de protección de datos personales y por el Reglamento (RGPD), acuerdan regular el acceso y tratamiento por parte de la FGUCM MP. (Encargado del Tratamiento) a los datos de carácter personal de los trabajadores de la entidad, cuya responsabilidad en último término es la empresa (Responsable del Tratamiento), registrados en el fichero de tratamiento denominado [……………………],y descritos en la tabla siguiente:

Colectivo de interesados:

Datos de carácter identificativo:

Datos de características personales:

Datos académicos y profesionales:

Datos relativos a las circunstancias sociales

Tiene como objeto encomendar la organización de la formación de sus trabajadores a la entidad externa Fundación UCM MP (Encargado del Tratamiento).

En consecuencia, con lo anteriormente expuesto, las partes firmantes del Anexo, lo llevan a efecto de conformidad con lo establecido en las siguientes:

ESTIPULACIONES

PRIMERA. - El Encargado del Tratamiento se compromete a guardar la máxima reserva y secreto sobre la información clasificada como confidencial y facilitada por [NOMBRE DE LA EMPRESA], sin revelarla de ninguna forma, en todo o en parte, a ninguna persona física o jurídica sin la previa autorización de [NOMBRE DE LA EMPRESA] Se considerará información confidencial cualquier dato de carácter personal al que el Encargado del Tratamiento acceda en virtud de la referida prestación de servicios.

Las obligaciones xx xxxxxxx y confidencialidad establecidas en el presente documento tendrán una duración indefinida, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre el Encargado del Tratamiento y el Responsable del Tratamiento.

El Encargado del Tratamiento deberá garantizar que las personas autorizadas para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad. En este sentido, el Encargado deberá mantener a disposición del Responsable la documentación que acredite tal extremo.

SEGUNDA. - El Encargado del Tratamiento reconoce que la legislación nacional y comunitaria sobre protección de datos personales establecen una serie de obligaciones en el tratamiento de datos de carácter personal por cuenta de terceros, para cuyo cumplimiento asume los siguientes compromisos con carácter general:

a) Acceder a los datos de carácter personal, cuya responsabilidad es de la [NOMBRE DE LA EMPRESA], únicamente si tal acceso es necesario para la prestación del servicio contratado, y no utilizará o aplicará dichos datos para fin distinto de la prestación del servicio. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos cumpliendo con las mismas obligaciones que el Responsable o de acuerdo con sus instrucciones, prestando especial atención a las obligaciones relacionadas con el principio de información y el ejercicio de los derechos de los interesados. Si el Encargado del Tratamiento considera que alguna de las instrucciones infringe la normativa vigente en materia de protección de datos deberá informar inmediatamente al Responsable.

c) Adoptar, como se recoge a continuación, las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de los datos de carácter personal a los que tenga acceso, evitando su alteración, pérdida, tratamiento o acceso no autorizado.

d) No comunicar en ningún caso a terceras personas los datos de carácter personal a los que tenga acceso, ni tan siquiera a efectos de su conservación, sin la previa autorización del Responsable. El Encargado podrá comunicar datos a otros Encargados del mismo Responsable de acuerdo con sus instrucciones. En este caso, la [NOMBRE DE LA EMPRESA] identificará previamente la entidad a la que se podrá o deberá comunicar, así como los datos y las medidas de seguridad que corresponde aplicar para proceder a la comunicación.

e) Devolver o destruir, según se acuerde, los datos comunicados por el Responsable una vez finalizada la vigencia de este contrato.

f) Para el caso de que el Encargado tenga más de 250 trabajadores o el tratamiento de datos implique un riesgo para los derechos de los interesados o incluya categorías especiales de datos, deberá llevar a cabo, por escrito, un registro de todas las categorías de tratamiento que efectúe por cuenta del Responsable, donde deberán constar los datos del Encargado; las categorías y los tratamientos de datos efectuados; los datos del Delegado de Protección de Datos; en su caso, las transferencias de datos personales que se hubieran realizado o previsto realizar; y las medidas de seguridad adoptadas.

TERCERA. - Tanto el Responsable como el Encargado del Tratamiento se comprometen -teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas a establecer las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente. Todo ello, con el fin de garantizar su confidencialidad e integridad, y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

El Encargado del Tratamiento informará a su personal, colaboradores y subcontratistas de las obligaciones establecidas en el presente documento, así como de las obligaciones relativas al tratamiento automatizado de datos de carácter personal que les incumbe, y garantizará la formación necesaria en protección de datos. El Encargado del Tratamiento realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con su personal y colaboradores, con el fin de asegurar el cumplimiento de tales obligaciones. En este sentido, el Encargado deberá mantener a disposición del Responsable la documentación o información que acredite dicho extremo.

En todo caso, el Encargado del Tratamiento deberá implantar las siguientes medidas de seguridad necesarias para

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d) Xxxxxxxxxxxx y cifrar los datos personales, en su caso.

Las obligaciones establecidas para el Encargado del Tratamiento en la presente estipulación serán también de obligado cumplimiento para sus empleados, colaboradores, tanto externos como internos, y subcontratistas, por lo que el Encargado del Tratamiento responderá frente al Responsable del Tratamiento si tales obligaciones son incumplidas por tales empleados, colaboradores o subcontratistas.

CUARTA. - Si el Encargado del Tratamiento pretendiera realizar una subcontratación del servicio o parte del mismo, conforme a lo dispuesto en la normativa nacional y comunitaria, [NOMBRE DE LA EMPRESA] deberá autorizar previamente y por escrito, en el plazo de [ESTABLECER PLAZO] desde que se comunique dicha intención, la subcontratación de los servicios o parte de los servicios encomendados al Encargado del Tratamiento. La subcontratación podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo establecido. Dicha subcontratación deberá quedar debida y documentalmente acreditada.

En todo caso, el subcontratista del tratamiento debe estar sujeto a las mismas condiciones y en la misma forma que el Encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por el subcontratista, el Encargado inicial seguirá siendo plenamente responsable ante la Universidad Complutense en lo referente al cumplimiento de las obligaciones del subcontratista.

En el caso de que el Encargado del Tratamiento, o la entidad subcontratada se encontrarán ubicados en un tercer país que no fuera España, se tendrán en cuenta las posibles repercusiones que dicha circunstancia provoca en relación con el tratamiento de datos personales del que es responsable [NOMBRE DE LA EMPRESA]. Aunque la legislación española será la aplicable a la [NOMBRE DE LA EMPRESA], como responsable del tratamiento con sede en España, en cualquier caso -especialmente en lo relativo a las medidas de seguridad a aplicar al tratamiento de datos personales efectuado-, se tendrán en cuenta las citadas circunstancias, partiendo del mínimo exigido por la legislación española.

QUINTA. - En relación con el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y decisiones individuales automatizadas por parte de los titulares de los datos personales, la única obligación del Encargado será comunicar a la FGUCM MP que se ha ejercido el correspondiente derecho. Dicha comunicación debe ser puesta en conocimiento del Delegado de Protección de Datos de la FGUCM MP (xxxxxx@xxx.xx) y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud o en el plazo máximo de 48 horas desde que es recibida, debiendo quedar constancia del envío y de su recepción. Se adjuntará, igualmente, en su caso, toda otra información que pueda ser relevante para resolver la solicitud presentada.

Por su parte, en relación con el derecho de información, el Encargado del Tratamiento, en el momento de la recogida de datos, en el caso de que se produzca, debe facilitar la información relativa a los tratamientos de datos que se van a efectuar. De producirse dicha información, tanto la redacción como el formato en el que se facilitará la misma, deberá consensuarse con la FGUCM antes del inicio de la recogida de datos.

SEXTA. - El Encargado del Tratamiento notificará al responsable, sin dilación indebida y en el plazo máximo de 72 horas, al correo electrónico de [NOMBRE DE LA EMPRESA] la violación de seguridad de los datos personales a su cargo de las que tenga conocimiento, con toda aquélla documentación necesaria para documentar y comunicar la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

El Encargado deberá facilitar a la [NOMBRE DE LA EMPRESA], si dispone de ella, la siguiente información:

• Descripción de la naturaleza de la violación de la seguridad de los datos personales (categorías y número aproximado de interesados afectados).

• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Será la [NOMBRE DE LA EMPRESA], como Responsable del Tratamiento, la responsable de comunicar dicha violación, en caso de ser necesario, a la Agencia Española de Protección de Datos, como a los interesados cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

SÉPTIMA. - Tal y como ha quedado recogido en el presente Acuerdo, es obligación del Encargado del Tratamiento poner disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él en el ejercicio de sus funciones y deber de diligencia.

OCTAVA. - El presente Acuerdo tiene una duración limitada a la prestación del servicio contratado de acuerdo a la legislación vigente.

En caso de finalización de la relación contractual establecida entre el Responsable y el Encargado del Tratamiento, los datos de carácter personal utilizados por este último deberán ser destruidos y suprimir cualquier copia que esté en su poder, en los equipos informáticos del Encargado. Una vez destruidos, el encargado debe comunicar su destrucción por escrito al responsable del tratamiento.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación. El mismo destino habrá de darse a cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento. En todo caso, los datos deberán ser devueltos al responsable cuando se requiera la conservación de los datos personales, en virtud del Derecho de la Unión o de los Estados miembros. En este sentido, el Encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación o del contrato celebrado.

La obligación finalmente asumida debe quedar documentada por parte del Encargado y a disposición del Responsable del tratamiento cuando éste lo solicite. En el caso de la destrucción, el Encargado debe certificar su destrucción por escrito y debe entregar el certificado al Responsable.

NOVENA. - El Encargado del Tratamiento garantiza la adopción de las medidas necesarias para el cumplimiento de las obligaciones derivadas de la normativa en materia de protección de datos, respondiendo personalmente de cualesquiera sanciones, multas o cargos que pudieran serle impuestos por el incumplimiento de las obligaciones derivadas del presente documento y de la legislación aplicable.

En caso de incumplimiento de cualquiera de las estipulaciones del presente documento por parte del Encargado del tratamiento, éste exonerará expresamente al Responsable del Tratamiento de cualquier responsabilidad, y en concreto:

• En el supuesto de que el Encargado del Tratamiento utilice o destine los datos de carácter personal para cualquier otro fin distinto del aquí pactado y aceptado por ambas partes.

• En caso de vulneración por parte del Encargado del Tratamiento del deber que le incumbe de guardar secreto sobre los citados datos y de no comunicarlos a terceros.

En los casos enumerados y en los derivados del incumplimiento de cualquiera de las estipulaciones del presente documento, el Encargado del Tratamiento será considerado como Responsable del Tratamiento, respondiendo de las infracciones en que por ello hubiera incurrido personalmente, así como de las reclamaciones que por el citado incumplimiento se hubieran formulado ante la Agencia Española de Protección de Datos y de la indemnización que, en su caso, se reconozca al afectado que, de conformidad con la normativa vigente en materia de protección de datos, ejercite la acción de responsabilidad por el daño o lesión que sufra en sus bienes o derechos.

Y en prueba de conformidad, las partes suscriben el presente Acuerdo, por duplicado y a un solo efecto en el lugar y fecha expresados en el encabezamiento.

Firma: Xxx Xxxxxx Xxxxx Xxxxxx Director General FGUCM Firma: D./Xx ………………………………... NOMBRE DE LA EMPRESA

Encargado del Tratamiento Responsable del Tratamiento