CONTRATO DE CORRESPONSABILIDAD EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
CONTRATO DE CORRESPONSABILIDAD EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
REUNIDOS
DE UNA PARTE,
La Sociedad FANDIT POWER, S.L., (en adelante, CEDENTE o FANDIT), con N.I.F. B88445358, y con domicilio social en Xxxx. xx Xxxxxxxx, 000 Xxxxx 00, 00000 Xxxxxx,
Y DE OTRA PARTE,
Los gestores o tramitadores de subvenciones públicas que incluyen el formulario de registro de FANDIT en un subdominio web propio.
FANDIT POWER, S.L. y los mencionados gestores o tramitadores se denominarán en adelante,
conjuntamente, las “Partes”, e individualmente una “Parte”.
Las Partes, reconociéndose capacidad jurídica y de obrar suficiente para el otorgamiento del presente Contrato,
EXPONEN
I. Que ambas Partes se encuentran actualmente vinculadas por la prestación de los servicios de búsqueda y tramitación de subvenciones públicas.
II. Que, a fin de legitimar y regularizar el tratamiento de los datos necesarios para los servicios referidos, y en cumplimiento de las obligaciones definidas por el Reglamento (UE) 2016/769 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”), ambas Partes acuerdan libremente actualizar el referido contrato y regular el tratamiento de datos personales requeridos para el servicio determinado anteriormente, con sujeción a las siguientes
ESTIPULACIONES
1. Objeto
El presente Contrato tiene por objeto definir las condiciones bajo las cuales las Partes llevarán a cabo el tratamiento de los datos personales.
El servicio consistirá en el intercambio entre ambas Partes de datos de carácter personal de las personas físicas, para la búsqueda, gestión y tramitación de subvenciones públicas.
Los datos objeto de tratamiento por ambas serán los indicados a continuación:
Tipo de datos | • Datos de carácter identificativo • Académicos y profesionales • Información comercial • Circunstancias sociales • Económicos, financieros o de seguros |
Titulares de datos | • Clientes y usuarios |
Base legitimadora | • Necesario para la ejecución de un contrato o para la aplicación de medidas precontractuales |
La prestación de los servicios supone el tratamiento de datos personales de los interesados descritos anteriormente, de modo que, para una adecuada gestión del mismo se requiere de la intervención conjunta de las Partes. Esto incluye la colaboración en el tratamiento de datos personales y la toma de decisión conjunta en relación con la definición de los fines y medios del tratamiento en una serie de operaciones comunes.
El objetivo de este Contrato es determinar las respectivas obligaciones y responsabilidades de las Partes en el uso de la información, cumpliendo así la normativa de Protección de Datos.
2. Operaciones de tratamiento y usos.
Las Partes perseguirán los siguientes objetivos principales, y llevarán a cabo las siguientes actividades de tratamiento de manera conjunta:
▪ Gestión de la contratación y la prestación de los servicios de búsqueda de subvenciones públicas y su correspondiente pago.
▪ Gestión del alta de los usuarios y su registro en el sitio web de la plataforma de búsqueda, así como permitir su acceso al área reservada.
No obstante lo anterior, queda excluido del presente Contrato y las Partes serán responsables por sí mismas, y no de manera conjunta, cualquier tratamiento de los datos de los usuarios para otras finalidades que no quede englobada en las detalladas anteriormente.
3. Responsabilidad y garantía de obtención legítima de los datos obtenidos.
Los Corresponsables, en base a sus propias actuaciones, garantizan que los datos cedidos/comunicados han sido obtenidos legítimamente y que los interesados han sido informados de la finalidad de uso de sus datos personales, así como, cuando proceda, que se ha aportado
información suficiente en relación con la comunicación de datos articulada a través del presente Contrato.
La redacción y el formato en que se facilitará la información se consensuará de manera conjunta antes del inicio de la recogida de los datos.
Del mismo modo, ambas Partes manifiestan que, en los supuestos en los que resulte necesario, han obtenido el consentimiento informado de los interesados para el tratamiento de sus datos con la finalidad de prestar el servicio indicado, de conformidad con las exigencias establecidas en la normativa vigente en materia de Protección de Datos Personales, disponiendo de elementos probatorios/contractuales de tal consentimiento.
Asimismo, ambas Partes se comprometen a informar y poner a disposición de los afectados los puntos esenciales del presente Contrato de corresponsabilidad, a través de las cláusulas de información o contratos facilitados a los mismos.
Las Partes no serán responsables del incumplimiento de las obligaciones en materia de información y consentimiento por la otra Parte, asumiendo cada Parte sus propias responsabilidades al respecto.
En el caso de que cualquiera de las Partes destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del presente Contrato, responderá de las infracciones en que hubiera incurrido individualmente, debiendo mantener indemne a la otra Parte frente a cualquier acción y/o reclamación de terceros con motivo de tales infracciones, sin limitación en el concepto y la cuantía, así como de cualesquiera acciones y/o reclamaciones se deriven de un incumplimiento de lo estipulado en este Contrato.
4. Comunicación de datos
En el marco de las relaciones existentes entre los Corresponsables en base a sus funciones legítimas, no comunicarán los datos recibidos a terceros, salvo que sea necesario para el cumplimiento de los compromisos adquiridos entre ambas y así se haya establecido, o le sea requerido por la autoridad competente, Jueces o Tribunales de acuerdo con la legalidad vigente.
5. Duración
El Contrato entrará en vigor a la fecha de su firma y permanecerá vigente mientras persista la prestación de servicios que origina la firma del presente Contrato de Corresponsabilidad.
6. Obligaciones de los Corresponsables
6.1 Corresponsabilidad
Los Partes, como corresponsables del tratamiento, conocen y aceptan la normativa relativa a la protección de datos de carácter personal, incluyendo, pero no limitándose al RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”). Ambas Partes se proporcionarán mutuamente los datos necesarios para
la prestación de servicios a los que se refiere este Contrato, y colaborarán estrechamente para llevar a buen fin las actividades de tratamiento llevadas a cabo de forma conjunta.
6.2 Ejercicio de derechos
Ambas Partes se asistirán mutuamente, en la respuesta a las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas que pudieran, eventualmente, ejercitar los interesados.
Cuando los interesados soliciten el ejercicio de sus derechos de protección de datos ante cualquiera de las Partes, la Parte que haya recibido la solicitud de ejercicio de derechos, se comunicará a la otra Parte de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con la información necesaria que pudiera ser relevantes para resolver la solicitud.
6.3 Medidas de seguridad
Las Partes aplicarán las medidas de seguridad, necesarias y suficientes, acorde al nivel de datos tratados. En este sentido, con carácter periódico o cuando se produzcan cambios relevantes en el tratamiento, los Corresponsables realizarán una evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la implantación de mecanismos para:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Xxxxxxxxxxxx y cifrar los datos personales, en su caso.
El análisis de riesgos deberá quedar documentado en un informe que deberá ser accesible por cualquiera de las Partes, en todo momento durante la vigencia del presente Contrato. Asimismo, en caso de que del análisis de riesgos se desprenda un alto riesgo para los derechos y libertades de los interesados, la Parte a la que corresponda mitigar el riesgo deberá llevar a cabo una Evaluación de Impacto en materia de Protección de Datos, dicha evaluación deberá quedar igualmente documentada en un informe que deberá ser accesible por cualquiera de las Partes durante la vigencia del Contrato.
Las medidas de seguridad y políticas relacionadas se actualizarán periódicamente por parte de ambas Partes, y cualquier cambio deberá informarse a la otra Parte por los medios que considere oportunos.
6.4 Colaboración mutua
En caso de que se produzca una inspección a cualquiera de las Partes por parte de una Autoridad de Control, ambas Partes se comprometen a colaborar de manera conjunta, así como con la propia
Autoridad de Control, y a informar a la otra Parte en cuanto tenga conocimiento de la existencia de una inspección o cualquier otro proceso incoado por una Autoridad de Control.
Asimismo, las Partes acuerdan colaborar estrechamente con relación a las disposiciones de esta cláusula y se comprometen a mantener informada a la otra Parte de cualquier dificultad relacionada con el tratamiento.
6.5 Evaluaciones de impacto y comunicación previa a la Autoridad de Control
Ambas partes se comprometen a darse apoyo en la realización de las evaluaciones de impacto relativas a la protección de datos, así como en la realización de las consultas previas a las Autoridades de Control, cuando proceda.
6.6 Registro de actividades de tratamiento
Ambas Partes llevarán un registro de todas las actividades de tratamiento efectuadas en el ámbito de su relación y su prestación de servicios, identificando los tratamientos llevados a cabo en calidad de Corresponsables, y que contendrá:
o El nombre y los datos de contacto del responsable, y en su caso, del representante del responsable y del delegado de protección de datos.
o Los fines del tratamiento.
o Una descripción de las categorías de interesados y de las categorías de datos personales.
o En su caso, las categorías de destinatarios a quienes se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
o En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
o Una descripción general de las medidas técnicas y organizativas de seguridad aplicadas relativas a:
▪ La seudonimización y el cifrado de datos personales, en su caso.
▪ La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.
▪ La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
▪ El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
6.7 Transferencias internacionales
Las Partes acuerdan y se comprometen a no realizar transferencias internacionales de datos a terceros países y/o a organizaciones internacionales en relación con los datos tratados en virtud de este Contrato. Si dichas transferencias resultasen necesarias para el cumplimiento de una obligación legal, esta circunstancia será previamente comunicada a la otra Parte salvo que la legislación aplicable lo prohíba por razones importantes de interés público.
En caso de acordar la realización de transferencias internacionales, ambas Partes se comprometen a llevarlas a cabo con la previa adopción de las debidas salvaguardas para proteger los derechos y libertades de los interesados, optando por terceros que, entre otros, se comprometan a la firma de Cláusulas Contractuales Tipo de la Comisión Europea.
6.8 Subcontratación
Las Partes se responsabilizarán del cumplimiento normativo en los casos en los que fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos. A petición de cualquiera de las Partes, la otra Parte deberá comunicar a la parte solicitante toda la información pertinente en relación con los tratamientos subcontratados y/o con los Encargados del Tratamiento de dicha Parte.
El subcontratista, que tendrá la condición de “Encargado del Tratamiento”, estará obligado a cumplir con las obligaciones que la normativa de protección de datos recoge para el Encargado del Tratamiento. Corresponde a la Parte contratante inicial regular la relación de forma que el Encargado del Tratamiento quede sometido a una serie de condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Encargado del Tratamiento, la Parte que haya llevado a cabo la subcontratación seguirá siendo plenamente responsable ante la otra Parte de este Contrato frente a cualquier incumplimiento de este Contrato y/o de la normativa aplicable por parte del Encargado del Tratamiento, sin limitación en los conceptos y la cuantía.
6.9 Deber xx xxxxxxx
Ambas Partes, y todo su personal, mantendrán el deber xx xxxxxxx respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente Contrato, incluso después de que finalice el mismo. Para ello, deberán garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que cada Parte les informará convenientemente.
6.10 Violación de la seguridad los datos personales
Ambas Partes se comprometen a colaborar en caso de detectar la existencia de una violación de la seguridad de los datos personales a su cargo de la que tengan conocimiento, incluyendo toda la información relevante para la documentación y comunicación de la incidencia. En dicho caso, deberán notificar a la otra Parte, sin dilación indebida y en el momento de detección de la misma.
Para ello, deberán colaborar facilitando toda la información relevante para la gestión, documentación y comunicación de la incidencia, que incluirá, como mínimo:
• Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
7. Responsabilidad
Ambas Partes deberán mantener indemne a la contraparte por toda reclamación, daño, deuda, pérdida, multa, sanción, costes y gastos, con causa en cualquier incumplimiento por parte de una de ellas, de cualquiera de las obligaciones contenidas en el presente Contrato y / o en la normativa vigente en materia de Protección de Datos de Carácter Personal.