CONTRATO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS
CONTRATO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS
Castellón, de de 2023
REUNIDOS
De una parte, PIPELINE SOFTWARE 2000, S.L. (en adelante denominada “PIPELINE SOFTWARE”) con C.I.F. B-12463410, correo electrónico xxxxxxxx@xxxxxxxx.xx y domicilio en Castellón, C/ Estatuto 6A bajo, representada en este acto por X. Xxxxxxxxx Xxxxxxx Xxxxxx.
Y de otra parte, _ (en adelante denominada “USUARIO”) con NIF y domicilio en
, representada en este acto por D./Dña. , con NIF , en calidad de .
Las partes, reconociéndose plena y suficiente capacidad legal para este otorgamiento, puestas de previo y total acuerdo:
MANIFIESTAN
PRIMERO. Que USUARIO es titular de uno o más ficheros (en adelante “FDCP-USUARIO”) sujetos a la normativa sobre protección de datos de carácter personal, incluyendo el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016 (en adelante “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales la normativa española (en adelante se utilizará el término “LOPD” para hacer referencia al conjunto normativo español en materia de protección de datos de carácter personal).
SEGUNDO. Que PIPELINE SOFTWARE presta a usuario servicios informáticos que pueden conllevar la necesidad de tratamiento de datos de uno o más de los FDCP-USUARIO por parte de PIPELINE SOFTWARE. La prestación de estos servicios y sus detalles está formalizada mediante su correspondiente contrato.
TERCERO. Que USUARIO declara que los datos de carácter personal incorporados en los FDCP- USUARIO no incluyen ninguna de las categorías especiales de datos recogidas en el Art. 9.1 del RGPD. De acuerdo con el RGPD, el tratamiento de estos datos supone un bajo nivel de riesgo para los derechos y libertades de los interesados. USUARIO declara que la seguridad de su tratamiento es conforme al Art. 32.1 del RGPD.
CUARTO. Que USUARIO desea formalizar con PIPELINE SOFTWARE el presente acuerdo de tratamiento de datos personales por cuenta de terceros, por el que PIPELINE SOFTWARE se convierte en encargado del tratamiento de los FDCP-USUARIO.
QUINTO. Que tanto USUARIO como PIPELINE SOFTWARE son empresas que emplean a menos de
250 personas y que, de acuerdo con el Art. 30.5 del RGPD, no es de aplicación a los FDCP- USUARIO el registro de las actividades de tratamiento contempladas en los puntos 1 y 2 del Art. 30 del RGPD.
SEXTO. DEFINICIONES.
Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización,
1
bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Fichero: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Responsable del fichero o del tratamiento (USUARIO, en este caso): persona física o jurídica que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Encargado del tratamiento (PIPELINE SOFTWARE, en este caso): persona física o jurídica que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento.
Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Usuario: el término “usuario/s” (en minúscula) hace referencia en el presente documento a empleados de USUARIO o empleados de encargados de tratamiento de los FDCP-USUARIO, o bien a los códigos de acceso a los distintos sistemas informáticos de cualquiera de ellos.
ACUERDAN
PRIMERO. El objeto del presente contrato es nombrar a PIPELINE SOFTWARE encargado del tratamiento de los FDCP-USUARIO, en los términos dimanantes del presente contrato.
SEGUNDO. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.
PIPELINE SOFTWARE y todo su personal se obliga a:
a) Utilizar los datos personales objeto de tratamiento sólo para la finalidad objeto de este contrato y los contratos relacionados con estos ficheros, de acuerdo con el manifiesto segundo. En ningún caso podrá utilizar los datos para fines propios.
b) Realizar el tratamiento de datos según los servicios contratados por USUARIO, que puede consistir en la conservación de los mismos, la realización de copias de seguridad y/o la adopción y mantenimiento de las medidas técnicas y de seguridad necesarias. También podrá realizar otros trabajos de tratamiento de acuerdo con las instrucciones del responsable del fichero y previa aceptación de los mismos. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD y/o cualquier otra disposición en materia de protección de datos, informará inmediatamente al responsable del fichero.
c) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma
2
previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
d) Documentar sistemas y procedimientos. PIPELINE SOFTWARE se compromete a mantener, por escrito, documentación de sus sistemas y procedimientos que documenten las medidas técnicas y de seguridad relativas a:
1. La protección del acceso a los sistemas, incluyendo gestión de claves de los distintos servidores y usuarios y el cifrado de algunos datos.
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento.
3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico y siempre que este servicio forme parte de los servicios contratados por USUARIO.
4. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
e) Realizar copias de seguridad de los FDCP-USUARIO, si este servicio forma parte de los servicios contratados por USUARIO. El procedimiento para las mismas está documentado de acuerdo con lo indicado en el apartado d) anterior. Se realizan copias de seguridad diarias que se almacenan en servidores y dispositivos externos dentro de la propia empresa. Además se realizan copias de seguridad semanales que se almacenan fuera de la empresa (se mantienen fuera de la empresa copias de las dos últimas semanas, destruyéndose las copias anteriores).
f) Restaurar el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico y siempre que deba existir copia de seguridad de acuerdo con lo indicado en el apartado e) anterior. El procedimiento está documentado de acuerdo con lo indicado en el apartado d) anterior. En función del tipo de fallo existen diversas medidas para permitir la recuperación del acceso a los datos en el menor tiempo posible. Estas medidas incluyen el mantenimiento de una réplica de emergencia del servidor de bases de datos MySQL Server, replicada diariamente.
g) No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Sin perjuicio de la total responsabilidad de PIPELINE SOFTWARE en el cumplimiento y ejecución de los servicios objeto de este contrato, en el supuesto en que fuese estrictamente necesario la colaboración de una tercera entidad para el correcto cumplimiento de sus obligaciones, USUARIO autoriza al mismo a recurrir a la subcontratación. Únicamente en relación con el tratamiento de datos de carácter personal, se entenderá que PIPELINE SOFTWARE actúa en nombre y por cuenta de USUARIO. Además, el contrato formalizado entre PIPELINE SOFTWARE y el subcontratista deberá contemplar las obligaciones que la Ley Orgánica 3/2018, de 5 de diciembre, asigna al encargado del tratamiento.
h) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
i) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
j) Asistir, en caso necesario, al responsable del tratamiento en la respuesta al ejercicio de los derechos de Acceso, rectificación, supresión y oposición. Estos derechos deberán ser ejercidos por los interesados directamente con USUARIO, que será responsable de adoptar las medidas correspondientes.
3
k) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente, de forma simultánea o gradual sin dilación indebida, si no es posible facilitarla simultáneamente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
l) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
m) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
n) Destruir los datos, una vez cumplida la prestación. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
TERCERO. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO.
Corresponde al responsable del tratamiento:
a) Elaborar un registro de actividades de tratamiento de acuerdo con el Art. 30 RGPD. Este registro sustituye a la anterior obligación de notificar los ficheros a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos, que dejó de estar operativa el 14 xx xxxx de 2018.
b) Entregar al encargado los datos de los FDCP-USUARIO.
c) Verificar que los datos incorporados en los FDCP-USUARIO se han recogido de forma legítima y cumpliendo los deberes de información y que corresponden al nivel básico de seguridad.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD y LOPD por parte del personal de USUARIO y otros posibles encargados del tratamiento de los FDCP-USUARIO, garantizando el cumplimiento de los deberes xx xxxxxxx y seguridad.
e) Facilitar y garantizar el ejercicio de los derechos de acceso, limitación, rectificación, supresión, oposición y olvido.
f) Notificar las posibles violaciones de seguridad de los datos personales a la autoridad de control, dentro del plazo máximo de 72 horas (Art. 33 RGPD) y a los interesados (Art. 40.j RGPD).
CUARTO. TARIFA. Los servicios contemplados en el presente contrato se prestarán a USUARIO sin coste adicional, quedando incluidos en la tarifa de los servicios contratados que conllevan la obligación de actuar como encargado del tratamiento de los FDCP-USUARIO.
4
QUINTO. LIMITACIÓN DE RESPONSABILIDADES. La responsabilidad de PIPELINE SOFTWARE
se circunscribe exclusivamente a su papel como encargado de tratamiento y a las obligaciones adquiridas por el presente contrato, siendo responsabilidad de USUARIO asumir su responsabilidad como responsable del tratamiento. La indemnización por daños y perjuicios en casos de culpa o negligencia de PIPELINE SOFTWARE derivada del presente contrato, no excederá en ningún caso de 50 €.
SEXTO. DURACIÓN. El presente contrato entrará en vigor el día de su firma y finalizará el 31 de diciembre del año en curso, y se prorrogará tácitamente por periodos anuales salvo notificación fehaciente en contra por alguna de las partes con, al menos, dos meses de antelación.
No obstante lo anterior USUARIO podrá resolver el presente contrato, en cualquier momento de la vigencia inicial del mismo o de sus correspondientes prórrogas, comunicándolo, de forma fehaciente, con un mes de antelación.
Cualquier incumplimiento por parte de USUARIO o PIPELINE SOFTWARE de las condiciones reflejadas en el presente contrato podrá ser motivo de rescisión del contrato, sin perjuicio de las acciones legales que USUARIO o PIPELINE SOFTWARE estimen oportuno emprender en defensa de sus derechos.
La prestación del servicio de encargado de tratamiento de los FDCP-USUARIO está vinculada a los contratos de servicios citados en el manifiesto segundo, por lo que la baja o cancelación de los mismos por cualquier motivo conllevará la rescisión automática del presente contrato, para todos los FDCP-USUARIO o para aquellos relacionados con los contratos rescindidos.
SEPTIMO. LEGISLACIÓN APLICABLE Y JURISDICCIÓN COMPETENTE. A las presentes
condiciones les es de aplicación la legislación española. Para cualquier controversia derivada de la interpretación o cumplimiento de estas condiciones, las partes se someterán a los Jueces y Tribunales xx Xxxxxxxxx, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.
Y en prueba de conformidad, ambas partes firman el presente contrato, por duplicado y a un sólo efecto, en la fecha del encabezamiento.
Por USUARIO
D./Dña. _
Por Pipeline Software
X. Xxxxxxxxx Xxxxxxx Xxxxxx
5