Ref: 10/400074.9/19 CONSEJERIA DE MEDIO AMBIENTE, ORDENACION DEL TERRITORIO Y SOSTENIBILIDAD
Ref: 10/400074.9/19 CONSEJERIA DE MEDIO AMBIENTE, ORDENACION DEL TERRITORIO Y SOSTENIBILIDAD
ADENDA A INCLUIR EN EL PPT POR CESIÓN DE DATOS DE CARÁCTER PERSONAL DEL CONTRATO PARA LA EJECUCIÓN A NIVEL DE LABORATORIO DE LOS PROGRAMAS DE VIGILANCIA, CONTROL Y ERRADICACIÓN DE LAS ENFERMEDADES DE LOS ANIMALES.
Exp.: A/SER-029275/2019
Se realiza esta adenda al Contrato de Servicios denominado “Ejecución a nivel laboratorio de los Programas de Vigilancia, Control y Erradicación de las Enfermedades de los Animales, de la Comunidad de Madrid para el año 2020”, de acuerdo con lo que determina el Real Decreto-ley 14/2019 de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
Para el cumplimiento del objeto de este contrato es necesario que la Administración que lo promueve ceda datos de carácter personal. Esta Administración es la Responsable de su Tratamiento, por lo que el adjudicatario habrá de cumplir a lo que se especifica en el presente documento y en el Anexo incluido.
I.Confidencialidad
La empresa adjudicataria se comprometerá a mantener en secreto todos los datos e informaciones facilitados por la Administración ordenante y que sean concernientes a la prestación del servicio aquí regulado.
En particular, será considerado como Información Confidencial todo el saber hacer resultante de la ejecución de las actuaciones encargadas, debiendo el adjudicatario mantener dicha información en reserva y secreto y no revelarla de ninguna forma, en todo o en parte, a ninguna persona física o jurídica que no sea parte para la ejecución del encargo. En consecuencia, los empleados de la empresa adjudicataria declararán: asumir el compromiso de confidencialidad, integridad y disponibilidad respecto a la información de los sistemas de información, el compromiso de no divulgación, no uso indebido y no destrucción de la información que utilice o a la que tenga acceso, por el desempeño de sus tareas, los protocolos de seguridad que se desarrollen en el ámbito de los sistemas de información y cumplir todas las disposiciones relativas a la política de seguridad respecto a seguridad de la información y tratamiento de datos de carácter personal, así como la obligación de poner en conocimiento de sus responsables cualquier anomalía detectada en los sistemas de información
II. Protección de datos
a. Normativa
De conformidad con la Disposición adicional 25ª de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público sobre Protección de datos de carácter personal establece que los contratos regulados por dicha Ley que impliquen el tratamiento de datos de carácter personal deberán respetar en su integridad la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo.
Ya que el objeto de este contrato implica el acceso al adjudicatario a datos de carácter personal de cuyo tratamiento es responsable la Dirección General de Agricultura, Ganadería y Alimentación esta dará las instrucciones oportunas respecto de dichos
tratamientos, y el adjudicatario tendrán la consideración de encargado del Tratamiento. En este supuesto, el acceso a esos datos no se considerará comunicación de datos siempre que se cumpla lo previsto en el artículo 28 del RGPD, y de acuerdo con lo previsto en la citada LOPDPYGDD. En todo caso, las instrucciones de la Administración deberán de constar por escrito.
b. Tratamiento de Datos Personales
El adjudicatario actúa en calidad de Encargado del Tratamiento y, por tanto, tiene el deber de cumplir con las instrucciones de la Administración, así como con la normativa vigente en cada momento, tratando y protegiendo debidamente los Datos Personales.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
Por tanto, sobre la Administración ordenante recaen las responsabilidades del Responsable del Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento. Si el adjudicatario destinase los datos a otra finalidad distinta de aquella para las que se recabaron por su propia voluntad, los comunicara o los utilizara incumpliendo lo previsto en la presente contratación y/o la normativa vigente, será considerado también como Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
El anexo a este documento denominado “Tratamiento de Datos Personales” describe en detalle los Datos Personales a proteger, así como el tratamiento a realizar y las medidas a implementar por el adjudicatario, y en particular la obligación de recabar los consentimientos expresos en los supuestos de tratamiento de datos de categoría especial, en particular de salud, salvo que existiera la correspondiente base fundamentadora del tratamiento.
Solo se podrán efectuar aquellas cesiones que fueran estrictamente necesarias para la prestación del servicio, por lo que con la firma del documento de consentimiento se aceptarían las citadas cesiones. En el supuesto de la existencia de posibles subcontratistas, que serán subcontratados del tratamiento, con las mismas obligaciones que los adjudicatarios y, que se habrá autorizado de forma general o, en su caso se habrá dado conocimiento para su aprobación expresa de la Dirección General de Agricultura, Ganadería y Alimentación con un mes de antelación al inicio de la prestación de trabajos. Igualmente si un subcontratista, de acuerdo con lo previsto en el art. 28.4 del RGPD incumpliera sus obligaciones de protección de datos, el adjudicatario podrá seguir siendo responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del subcontratista en materia de protección de datos, sin perjuicio de las responsabilidades que a cada uno incumbiera.
En caso de que como consecuencia de la ejecución del contrato resultara necesario en algún momento la modificación de lo estipulado en el Anexo “Tratamiento de Datos Personales”, el adjudicatario lo requerirá razonadamente y señalará los cambios que solicita. En caso de que la Administración estuviese de acuerdo con lo solicitado emitiría un Anexo “Tratamiento de Datos Personales” actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento y las instrucciones de la Administración. En el supuesto de datos de categoría especial, se deberán hacer constar, en su caso, por parte de la Administración los documentos con los consentimientos expresos para los tratamientos antes indicados, o las bases fundamentadoras que legitimen los tratamientos de la citada categoría de datos, así como el derecho de información con detalle del responsable del tratamiento, la finalidad
principal, afectados, destinatarios en su caso, y otras adicionales que resulten autorizadas, el plazo de conservación de los datos recabados, la legitimación para el tratamiento, las eventuales cesiones previstas, así como lo determinado respecto del ejercicio de los interesados, sin perjuicio de la aplicación de las medidas de seguridad que correspondieran y, en particular, las evaluaciones de impacto realizadas por la Administración con carácter previo al inicio del tratamiento.
No obstante, la Administración en los supuestos contemplados en el art. 28.1 y 2 de la LOPDYGDD habrá valorado si procediere la realización de las evaluaciones de impacto
en protección de datos para los citados tratamientos por los mayores riesgos que conllevaran para los interesados.
c. Estipulaciones como Encargado de Tratamiento
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
De conformidad con lo previsto en el artículo 28.3 del RGPD, el adjudicatario, como encargado del tratamiento, se obliga y garantiza el cumplimiento de las siguientes obligaciones, complementadas con lo detallado en el Anejo “Tratamiento de Datos Personales”, y sin perjuicio de las obligaciones de dar las correspondientes instrucciones sobre el tratamiento, así como de las que incumbieran a los subcontratados de los tratamientos, en el supuesto de las subcontrataciones:
a) Tratar los Datos Personales conforme a las instrucciones documentadas en este anejo o demás documentos complementarios al contrato y aplicables a la ejecución del mismo y aquellas que, en su caso, reciba de la Dirección General de Agricultura, Ganadería y Alimentación por escrito en cada momento.
b) La empresa adjudicataria informará inmediatamente a la Dirección General de Agricultura, Ganadería y Alimentación cuando, en su opinión, una instrucción sea contraria a la normativa de protección de Datos Personales aplicable en cada momento.
c) No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del objeto del contrato.
d) Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad, necesarias o convenientes para asegurar la confidencialidad, secreto, disponibilidad, integridad de los Datos Personales a los que tenga acceso.
En particular, y sin carácter limitativo, se compromete a aplicar las medidas de protección del nivel de riesgo y seguridad detalladas por la Administración en el Anexo “Tratamiento de Datos Personales”. Igualmente, se compromete a aplicar las medidas y controles contemplados en las evaluaciones de impacto realizadas por la Administración, en los supuestos contemplados en el art. 28.1 y 2 de la LOPDYGDD, por el mayor riesgo para el interesado que conllevase el tratamiento.
e) Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de la empresa adjudicataria, siendo deber de ésta instruir a las personas que de ella dependan, de este deber xx xxxxxxx, y del mantenimiento de dicho
deber aún después de la terminación de la prestación del Servicio o de su desvinculación.
f) Llevar un listado de personas autorizadas para tratar los Datos Personales objeto de este contrato y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición de la Administración dicha documentación acreditativa.
g) Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
h) Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación, sin perjuicio de los supuestos de subcontratistas, en la subcontratación.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
i) Si no lo hubiera y fuera necesario según el RGPD, nombrar Delegado de Protección de Datos, con comunicación a la Administración que deberá tener el propio, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por la empresa adjudicataria como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
j) Una vez finalizada la prestación objeto del presente contrato, se compromete, según corresponda y se instruya en el Anexo “Tratamiento de Datos Personales”, a devolver, bloquear o destruir (i) los Datos Personales a los que haya tenido acceso; (ii) los Datos Personales generados por el adjudicatario por causa del tratamiento; y (iii) los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, o en el supuesto de que la Administración ordenante lo autorizara expresamente, en cuyo caso no procederá la destrucción. El adjudicatario, en cuanto Encargado del Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento, en la forma prevista en la legislación vigente. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo. De conformidad con lo previsto en el art.33.3 de la LOPDYGDD, no obstante lo anterior, TRAGSATEC podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con la Administración.
k) Según corresponda y se indique en el Anexo “Tratamiento de Datos Personales, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que en el citado Anexo se especifican, equipamiento que podrá estar bajo el control de la Administración ordenante o bajo el control directo o indirecto de la empresa adjudicataria, y en su caso los subcontratados autorizados, u otros que hayan sido expresamente autorizados por escrito por la Administración, según se establezca en dicho Anexo en su caso, y
únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este contrato.
l) Salvo que se indique otra cosa en el Anexo “Tratamiento de Datos Personales” o se instruya así expresamente por la Administración, a tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, bien por Decisiones de adecuación o alguno de los supuestos previstos expresamente en el RGPD y LOPDYGDD no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas
autorizados conforme a lo establecido en este contrato o demás documentos complementarios al mismo, salvo que esté obligado a ello en virtud del Derecho de la
Unión o del Estado miembro que le resulte de aplicación.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
En el caso de que por causa de Derecho nacional o de la Unión Europea, la empresa adjudicataria deba llevar a cabo alguna transferencia internacional de datos, esta informará por escrito a la Dirección General de Agricultura, Ganadería y Alimentación de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, recibiendo las instrucciones que procedieran y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables a la Administración, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público. Lo mismo se aplicará respecto de los subcontratistas.
m) De conformidad con el artículo 33 RGPD, comunicar a la Administración, de forma inmediata y a más tardar en el plazo de 48 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en los sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad, su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del encargo. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad, o cualquier otro efecto. Lo anterior con objeto de que la Administración pudiera cumplir con la obligación de comunicación a la autoridad de control en el plazo de 72 horas, y en su caso, a los afectados.
n) Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los “Derechos”), ante el Encargado del Tratamiento, éste debe comunicarlo a la Administración con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá de los 3 días laborables siguientes al de la recepción de la solicitud del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación de quien ejerce el derecho y resto de documentación que hubiera sido aportada.
Asistirá a la Administración, siempre que sea posible, para que ésta pueda cumplir y dar respuesta al ejercicio de Derechos.
o) Podrá colaborar con la Administración en el cumplimiento de sus obligaciones en materia de (i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y (iii) conocimientos de los eventuales análisis de riesgos y evaluaciones de impacto, correspondientes a la Administración relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes, a que pudiere haber lugar; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición de la Administración, a requerimiento de esta, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en
el contrato, en este anexo y demás documentos en materia de protección de datos y colaborará en la posible asistencia ante realización de auditorías e inspecciones en el ámbito de la privacidad llevadas a cabo, en su caso, por la Administración ordenante a solicitud de la misma.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
p) En los casos en que la normativa así lo exija (ver art. 30.5 RGPD), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo
30.2 del RGPD un registro de las categorías de actividades de tratamiento efectuadas como encargado de la Administración ordenante (Responsable del Tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo, sin perjuicio de la obligación que incumbe a la Administración respecto de la realización de inventarios de tratamientos y su adecuada transparencia, de conformidad con el art. 31 de la LOPDYGDD.
q) Colaborar con la Administración en la asistencia en lo relativo a disponer de evidencias que demuestren el cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de cumplimentación de cuestionarios, inspecciones y/o auditorías, en su caso, que podrá poner a disposición de la Administración a requerimiento de esta. Asimismo, durante la vigencia del encargo, pondrá a disposición de Administración toda información, certificaciones y auditorías, en su caso, en cada momento, que fuera necesario y que le fueran requeridas.
r) Derecho de información: El adjudicatario, en el momento de la recogida de los datos, en el supuesto de que dicha instrucción fuera así, debe facilitar la información relativa a los tratamientos de datos que se van a realizar, cumplimentando en su caso el cuestionario de situación correspondiente. La redacción y el formato en que se facilitará la información se debe consensuar con la Administración responsable del contrato del inicio de la recogida de los datos
s) Obligaciones el adjudicatario
- La obligación del adjudicatario de someterse a la normativa nacional y europea en materia de protección de datos, sin perjuicio de lo establecido en el artículo 202 párrafo 1 de la LCSP.
- La obligación del adjudicatario de presentar antes de la formalización del contrato una declaración en la que ponga de manifiesto donde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos.
- La obligación de comunicar cualquier cambio que se produzca a lo largo de la vida del contrato de la información facilitada en la declaración anterior.
- La obligación del adjudicatario de indicar si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o perfil empresarial de los subcontratistas a los que vaya a encomendar su realización en su caso.
El presente Anexo y su clausulado correspondiente al Tratamiento de Datos Personales constituyen el documento jurídico de encargado de tratamiento entre la Administración y el adjudicatario que hace referencia el artículo 28.3 RGPD. Las obligaciones y prestaciones que aquí se contienen no son retribuibles de forma distinta de lo que, en su caso, se hubiera previsto en el presente contrato y demás documentos complementarios al servicio y tendrán la misma duración que la prestación del servicio objeto del contrato y su ejecución. No obstante, a la finalización de la ejecución de la prestación prevista, el deber xx xxxxxxx continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del contrato.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
Para el cumplimiento del objeto de este contrato no se requiere que se acceda a ningún otro Dato Personal responsabilidad de la Administración que no sean los facilitados, y por tanto no está autorizado al acceso o tratamiento de otro dato, que no sean los especificados en el Anejo “Tratamiento de Datos Personales a salvo de lo previsto en el art.33.2 de la LOPDYGDD. Si se produjera una incidencia durante la ejecución del contrato que conllevará un acceso accidental o incidental a Datos Personales responsabilidad de la Administración no contemplados en el Anexo “Tratamiento de Datos Personales, que pudiera ser calificado como brecha de seguridad, deberá ponerlo en conocimiento de Administración, en concreto de su Delegado de Protección de Datos, con la mayor diligencia y a más tardar en el plazo de 48 horas.
II. Información
Los datos de carácter personal serán tratados por la Administración para ser incorporados al sistema de tratamiento, según la identificación de los tratamientos relacionados en el apartado relación de TRATAMIENTOS cuya finalidad ha de ir indicada, al tratarse de una finalidad necesaria para el cumplimiento de una obligación legal de la Administración. La Administración como responsable determinará todas las instrucciones respecto de los tratamientos sobre los datos personales.
Los datos de carácter personal sólo podrán ser comunicados a entidades financieras, Agencia Estatal de Administración Tributaria, órganos gestores de la Seguridad Social, Intervención General de la Administración del Estado, Tribunal de Cuentas, e incluidos en la Plataforma de Contratación del Estado y el Registro Público de Contratos, en virtud de la correspondiente disposición legal que resultara aplicable.
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria, además de los periodos establecidos en la normativa de archivos y patrimonio documental español, y resto de normativa que pudiere ser aplicable en el ámbito del sector público, así como lo previsto en la LOPDYGDD.
Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas
únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar por correo al ÁREA DE GANADERÍA DE LA DIRECCIÓN GENERAL DE AGRICULTURA, GANADERÍA Y ALIMENTACIÓN DE LA CONSEJERÍA DE MEDIO AMBIENTE, ORDENACIÓN DEL TERRITORIO Y SOSTENIBILIDAD, así como por vía
electrónica a la dirección de correo xxxxxxxx.xxxxxxxxx@xxxxxx.xxx .Los interesados tienen derecho a reclamar ante la autoridad de control.
III. Clausula final de arbitraje
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
Toda controversia relativa a la protección de los datos personales tratados al amparo de este contrato de la Administración, del clausulado de encargado, así como las que guarden relación con él, al igual que las que se pudieren derivar por eventuales daños y perjuicios sufridos por una persona a resultas del tratamiento de sus datos personales en tratamientos sea como adjudicatario y, en particular, las derivadas del derecho a indemnización, así como las que se deriven de ese acto o guarden relación con él- incluida cualquier cuestión relativa a su existencia, validez, terminación, interpretación o ejecución-será resuelta definitivamente mediante arbitraje de Derecho, administrado por un Árbitro experto en Privacidad y RGPD, y certificados como Delegados de Protección de Datos. No obstante, también se podrá acudir al Tribunal de Arbitraje del Consejo Empresarial de Distribución (TACED) para la correspondiente designación de los árbitros. Lo anterior sin perjuicio de los sistemas de resolución de conflictos que pudiere determinar la Administración ordenante
ANEXO “TRATAMIENTO DE DATOS PERSONALES”
Descripción general del tratamiento de Datos Personales a efectuar
DENOMINACION, DESCRIPCIÓN Y FINALIDAD:
El tratamiento consistirá en el tratamiento de datos personales referentes a explotaciones ganaderas y otro tipo de establecimientos ganaderos en los el análisis que se realizaran en el Laboratorio Regional de Sanidad Animal para la ejecución de los Programas de Vigilancia, Control y Erradicación de las Enfermedades de los Animales de la Comunidad de Madrid.
Este tratamiento tendrá como objetivo el poder recoger los datos de las explotaciones ganaderas y otros establecimientos en caso de necesidad (grabación de pruebas sanitarias, alertas sanitarias…)
El personal adscrito por la organización receptora del contrato, para proporcionar los Servicios establecidos en el objeto del contrato puede tratar Datos Personales. Los Datos Personales se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance encomendado.
En caso de que como consecuencia de la ejecución del contrato resultara necesario en algún momento la modificación de lo estipulado en este Anexo, el destinatario del contrato lo requerirá razonadamente y señalará los cambios que solicita. En caso de que Administración estuviese de acuerdo con lo solicitado, emitiría un Anexo actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
Colectivos y Datos Tratados
Los colectivos de interesados y Datos Personales tratados a los que puede tener acceso el destinatario adjudicatario del contrato, o en su caso subcontratista son:
Tratamientos y principales colectivos de interesados | Datos Personales del tratamiento a los que se puede acceder |
Tratamiento 1: Recogida, registro, estructuración, , conservación, consulta, destrucción, copias temporales y copias de seguridad | D.N.I./N.I.F. NOMBRE Y APELLIDOS DIRECCION TELEFONO FIRMA |
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderá:
◼ Recogida (captura de datos) | ◼ Registro (grabación) | ❑ Estructuración | ❑ Modificación |
◼ Conservación (almacenamiento) | ❑ Extracción (retrieval) | ◼ Consulta | ❑ Cesión |
❑Difusión | ❑ Interconexión (cruce) | ❑ Cotejo | ❑ Limitación |
❑ Supresión | ◼ Destrucción (de copias temporales) | ❑ Conservación (en sus sistemas de información) | ❑ Otros: |
❑ Duplicado | ◼ Copia (copias temporales) | ◼ Copia de seguridad | ❑ Recuperación |
Disposición de los datos al terminar el Servicio
Una vez finalice la prestación de servicios en que consiste el contrato, el destinatario adjudicatario debe:
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el adjudicatario y/o subcontratado, salvo que la Administración responsable del tratamiento autorizara otra cosa. No obstante, el adjudicatario puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación u obligaciones legales.
No obstante, el Responsable del Tratamiento podrá requerir al adjudicatario para que en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Devolver al adjudicatario que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el adjudicatario. No obstante, el adjudicatario puede conservar copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la ejecución de la prestación y obligaciones legales
c) Destruir los datos una vez cumplida la prestación. Una vez destruidos, el adjudicatario y, en su caso el subcontratista, debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el adjudicatario puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad.
Se deben implantar las medidas de seguridad siguientes:
- Claves de seguridad en los ordenadores
- Expedientes en armarios bajo llave
El destinatario del servicio no podrá no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa de la administración.
A estos efectos, el personal del contratista, y en su caso, subcontratista debe seguir las medidas de seguridad establecidas por la administración, no pudiendo efectuar tratamientos distintos de los definidos por la administración.
La autenticidad de este documento se puede comprobar en xxx.xxxxxx.xxx/xxx mediante el siguiente código seguro de verificación: 1276659665929206590314
Madrid, a fecha de firma
EL SUBDIRECTOR GENERAL DE PRODUCCIÓN AGROALIMETARIA
Firmado digitalmente por XXXXX XXXXXXXXXX XXXXXX Organización: COMUNIDAD DE MADRID
Fecha: 2019.11.27 11:45:41 CET
Huella dig.: de89211b888cf6b08e4e125608d00c949e4b888a