Contrato de transferencia INTERNACIONAL de datos
Contrato de transferencia INTERNACIONAL de datos
En Bogota D.C., a …. de ……..…… de …….
REUNIDOS
De una parte, ………………………………………………., con C.C. No. ………………………………………………., en nombre y representación de la UNIVERSIDAD MILITAR NUEVA GRANADA, con NIT No 800.225.340 - 8 y domicilio social en Xxxxxxx 00 Xx 000- 00 xx xx xxxxxx xx Xxxxxx X.X. En adelante, UNIVERSIDAD MILITAR NUEVA GRANADA, EL EXPORTADOR DE DATOS.
Y de otra parte, ……………………………………., con domicilio social en …………………….. En adelante, EL IMPORTADOR DE DATOS.
Ambas partes reconocen su capacidad jurídica necesaria para suscribir el presente CONTRATO.
MANIFIESTAN
Qué, EL EXPORTADOR DE DATOS, es responsable de los datos de carácter personal contenidos y/o tratados en sus sistemas de información; y en tal sentido, cuenta con autorización de los titulares de dichos datos de carácter personal, para hacer transferencia internacional de los mismos, si así se requiere, y para cumplir con las finalidades estrictamente autorizados por dicho titular para el efecto.
Qué, EL EXPORTADOR DE DATOS, cumple con la Ley Estatutaria 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales”, y el Decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”, y en tal sentido cuenta con las medidas de seguridad adecuadas para la protección, conservación y custodia de los datos personales que reposan en sus bases de datos y sistemas de información.
Que en virtud del convenio/contrato suscrito entre EL EXPORTADOR DE DATOS y EL IMPORTADOR DE DATOS, cuyo objeto es, …………………….........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................., se hace necesario celebrar el presente CONTRATO DE TRANSFERENCIA INTERNACIONAL DE DATOS.
Que EL IMPORTADOR DE DATOS manifiesta que cuenta con niveles adecuados de protección, conservación y custodia de datos personales en sus bases de datos y sistemas de información.
Qué, en cumplimiento de lo dispuesto por la Ley Estatutaria 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales” (en adelante, LEPD) y el Decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”, ambas partes convienen en suscribir el presente CONTRATO, con sujeción a las siguientes:
CLÁUSULAS
PRIMERA. – Por medio del presente contrato EL EXPORTADOR DE DATOS transfiere internacionalmente los datos contenidos en la base de datos anexa al presente contrato al IMPORTADOR DE DATOS, para que exclusivamente se pueda dar cumplimineto al convenio suscrito. De acuerdo con la relación contractual de las partes (se debe mencionar que datos son los que le suministra y para que finalidad). ………..........................................................................................................................................................................................................................................................................................
SEGUNDA. - EL IMPORTADOR DE DATOS únicamente tratará los datos para efectos de la correcta ejecución del convenio suscrito con EL EXPORTADOR DE DATOS y de acuerdo con los niveles adecuados de protección de datos; y se compromete a no destinarlos, aplicarlos o utilizarlos con fin distinto al que figure en el presente contrato o de cualquier otra forma que suponga un incumplimiento de las obligaciones adquiridas en virtud del presente contrato.
De igual modo, EL IMPORTADOR DE DATOS se compromete a no revelar, transferir, ceder o de otra forma comunicar las bases de datos o datos contenidos en ellas, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a otras personas.
TERCERA. - De acuerdo con lo dispuesto en el numeral h) del artículo 4 de la LEPD, EL IMPORTADOR DE DATOS se compromete y obliga a guardar secreto de todos los datos de carácter personal que conozca y a los que tenga acceso en virtud del presente contrato. Igualmente, custodiará e impedirá el acceso a los datos de carácter personal a cualquier usuario no autorizado o persona ajena. Las anteriores obligaciones se extienden a cualquier tratamiento que de esos datos pudiera realizarse y subsistirá aún después de terminados los mismos.
EL IMPORTADOR DE DATOS pondrá en conocimiento del personal a su servicio las obligaciones recogidas en el presente contrato, cerciorándose, mediante la adopción de las medidas pertinentes, de que se acata su contenido.
CUARTA. - EL IMPORTADOR DE DATOS se obliga a respetar todas las obligaciones que pudieran corresponderle con arreglo a la normativa en materia de protección de datos.
De igual modo, manifiesta tener implantadas las medidas de seguridad de nivel sensible identificadas en el Anexo del presente contrato y garantiza el mantenimiento de estas medidas de seguridad, así como cualesquiera otras que le fueren impuestas, de índole técnica y organizativa, necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. EL EXPORTADOR DE DATOS facilitará, a solicitud de EL IMPORTADOR DE DATOS, un extracto de las medidas de seguridad que debe acatar en cumplimiento de las obligaciones descritas en esta cláusula.
QUINTA. - EL IMPORTADOR DE DATOS se compromete a comunicar a EL EXPORTADOR DE DATOS, cualquier incidencia que se produzca en ejecución del presente contrato, especialmente aquellas relacionadas con el ejercicio de derechos de consulta y reclamos por parte de los titulares de los datos. Esta comunicación deberá llevarse a cabo dentro del plazo de dos días contados desde la fecha en que se hubiese producido la incidencia o hubiese tenido conocimiento de la misma.
SEXTA. - Una vez cumplida o resuelta la prestación contractual acordada entre la EL EXPORTADOR DE DATOS, y EL IMPORTADOR DE DATOS, los datos de carácter personal serán destruidos o devueltos a EL EXPORTADOR DE DATOS, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento.
No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos a EL EXPORTADOR DE DATOS, o al encargado del tratamiento que se haya designado al efecto, garantizando dicha conservación.
EL IMPORTADOR DE DATOS conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con la EL EXPORTADOR DE DATOS
Para que conste a los efectos oportunos, en prueba de la conformidad de las partes, firman el presente CONTRATO, por duplicado, en el lugar y fecha indicados en el encabezamiento.
Atte,
Responsable exportador de datos
_____________________
……………………………………………….
CC/NIT: ……………………………………………….
Atte,
Responsable importador de datos
__________________
Nombre o razón social
CC/NIT:
Medidas de seguridad comunes para todo tipo de datos (públicos, semiprivados, privados, sensibles) y bases de datos (automatizadas, no automatizadas) |
||||
Gestión de documentos y soportes |
Control de acceso |
Incidencias |
Personal |
Manual Interno de Seguridad |
1. Medidas que eviten el acceso indebido o la recuperación de los datos que han sido descartados, borrados o destruidos. 2. Acceso restringido al lugar donde se almacenan los datos. 3. Autorización del responsable para la salida de documentos o soportes por medio físico o electrónico. 4. Sistema de etiquetado o identificación del tipo de información. 5. Inventario de soportes. |
1. Acceso de usuarios limitado a los datos necesarios para el desarrollo de sus funciones. 2. Lista actualizada de usuarios y accesos autorizados. 3. Mecanismos para evitar el acceso a datos con derechos distintos de los autorizados. 4. Concesión, alteración o anulación de permisos por el personal autorizado |
1. Registro de incidencias: tipo de incidencia, momento en que se ha producido, emisor de la notificación, receptor de la notificación, efectos y medidas correctoras. 2. Procedimiento de notificación y gestión de incidencias. |
1. Definición de las funciones y obligaciones de los usuarios con acceso a los datos 2. Definición de las funciones de control y autorizaciones delegadas por el responsable del tratamiento. 3. Divulgación entre el personal de las normas y de las consecuencias del incumplimiento de las mismas |
1. Elaboración e implementación del Manual de obligado cumplimiento para el personal. 2. Contenido mínimo: ámbito de aplicación, medidas y procedimientos de seguridad, funciones y obligaciones del personal, descripción de las bases de datos, procedimiento ante incidencias, procedimiento de copias y recuperación de datos, medidas de seguridad para el transporte, destrucción y reutilización de documentos, identificación de los encargados del tratamiento. |
ANEXO: MEDIDAS DE SEGURIDAD
Medidas de seguridad comunes para todo tipo de datos (públicos, semiprivados, privados, sensibles) según el tipo de bases de datos |
||||
Bases de datos no automatizadas |
Bases de datos automatizadas |
|||
Archivo |
Almacenamiento de documentos |
Custodia de documentos |
Identificación y autenticación |
Telecomunicaciones |
1. Archivo de documentación siguiendo procedimientos que garanticen una correcta conservación, localización y consulta y permitan el ejercicio de los derechos de los Titulares. |
1. Dispositivos de almacenamiento con mecanismos que impidan el acceso a personas no autorizadas.
|
1. Deber de diligencia y custodia de la persona a cargo de documentos durante la revisión o tramitación de los mismos. |
1. Identificación personalizada de usuarios para acceder a los sistemas de información y verificación de su autorización. 2. Mecanismos de identificación y autenticación; Contraseñas: asignación, caducidad y almacenamiento cifrado. |
1. Acceso a datos mediante redes seguras. |
Tabla V. Medidas de seguridad para datos sensibles según el tipo de bases de datos |
||||||
Bases de datos no automatizadas |
Bases de datos automatizadas |
|||||
Control de acceso |
Almacenamiento de documentos |
Copia o reproducción |
Traslado de documentación |
Gestión de documentos y soportes |
Control de acceso |
Telecomunicaciones |
1. Acceso solo para personal autorizado. 2. Mecanismo de identificación de acceso. 3. Registro de accesos de usuarios no autorizados.
|
1. Archivadores, armarios u otros ubicados en áreas de acceso protegidas con llaves u otras medidas. |
1. Solo por usuarios autorizados. 2. Destrucción que impida el acceso o recuperación de los datos. |
1. Medidas que impidan el acceso o manipulación de documentos. |
1. Sistema de etiquetado confidencial. 2. Cifrado de datos. 3. Cifrado de dispositivos portátiles cuando salgan fuera. |
1. Registro de accesos: usuario, hora, base de datos a la que accede, tipo de acceso, registro al que accede. 2. Control del registro de accesos por el responsable de seguridad. Informe mensual. 3. Conservación de los datos: 2 años. |
1. Transmisión de datos mediante redes electrónicas cifradas. |
Sede Bogotá: xxxxxxx 00 000- 00.
Sede Campus Nueva Granada: xxxxxxxxx 0, xxx Xxxxxx-Xxxxxxxxx
XXX (000) 000 00 00
xxx.xxxx.xxx.xx - Bogotá D. C. - Colombia
