MODELO DE CONTRATO DE TRATAMIENTO DE DATOS PERSONALES. ARTÍCULO 28 REGLAMENTO (UE) 2016/679.
En Sevilla a [FECHA]
REUNIDOS
De una parte, la UNIVERSIDAD XX XXXXXXX, con CIF Q4118001-I, actuando en su nombre y representación Xxxx Xx del Xxxxxx Xxxxxxx Xxxxxx, Vicerrectora de Planificación Estratégica y Económica, por delegación del Rector de la Universidad xx Xxxxxxx (Resolución rectoral de 10 de febrero de 2016).
De otra parte, [denominación de la empresa], EN ADELANTE EL ENCARGADO DEL TRATAMIENTO, con domicilio social en [dirección y localidad], provista de CIF [número]. Actúa en su nombre y representación Don/Doña [nombre y apellidos] en virtud del poder otorgado en la Notaría de Xxx/Doña [nombre y apellidos] con fecha XXXX y bajo el número XXX de su protocolo, asegurando el representante la plena vigencia de su representación.
EXPONEN
I.- La UNIVERSIDAD XX XXXXXXX es una Institución de Derecho Público, con personalidad jurídica y patrimonio propio, a la que corresponde, en el marco de sus competencias, la prestación del servicio público de la educación superior, mediante la investigación, la docencia, el estudio, la transferencia del conocimiento a la sociedad y la extensión universitaria. A tal fin, necesita contratar con distintas empresas prestadoras de servicios.
II.- EL ENCARGADO DEL TRATAMIENTO presta o va a prestar a la UNIVERSIDAD XX XXXXXXX los servicios de [especificar, describir, tipo de servicios] en los términos establecidos en el contrato de servicios suscrito por ambas partes con fecha [indicar la fecha y el número de expediente de contratación].
III.- La prestación de servicios contratada conlleva el tratamiento de DATOS PERSONALES de los que la UNIVERSIDAD XX XXXXXXX, según la normativa vigente en materia de protección de datos, es RESPONSABLE y respecto de los cuales la empresa contratada, según dicha normativa, asume el papel de ENCARGADO DEL TRATAMIENTO.
Por ello, y al objeto de cumplir con las previsiones contenidas en el artículo 28 del REGLAMENTO (UE) 2016/679, ambas partes proceden a formalizar el presente contrato, accesorio del contrato principal indicado en el expositivo II, conforme a las siguientes
CLÁUSULAS
PRIMERA. OBJETO.
El presente contrato tiene por objeto cumplir con las previsiones del REGLAMENTO (UE) 2016/679, y en especial garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento al que accede EL ENCARGADO DEL TRATAMIENTO en el desarrollo de la prestación del servicio acordado con la UNIVERSIDAD XX XXXXXXX en el contrato principal.
La prestación de servicios se extiende hasta el [especificar fecha].
EL ENCARGADO DEL TRATAMIENTO designa como persona de contacto a los efectos del presente contrato a ……………………………………………………………………….
Por su parte, la Universidad xx Xxxxxxx designa a tal efecto a su Delegada de Protección de datos de la US: Xxxxxxxxx Xxxxxxxx-Pais Xxxxxxxxxxx xxx@xx.xx.
[Incluir Nombre y email de una persona del Servicio donde se realice el tratamiento de datos].
SEGUNDA. DATOS PERSONALES.
La Universidad xx Xxxxxxx con el exclusivo fin de hacer posible la prestación de servicios objeto del contrato principal, proporciona al ENCARGADO DEL TRATAMIENTO los siguientes datos de carácter personal:
[ESPECIFICAR Y DESCRIBIR LOS DATOS]
EL ENCARGADO DEL TRATAMIENTO únicamente tendrá acceso a aquellos datos que la Universidad xx Xxxxxxx le proporcione, bien de manera directa o que recoja en su nombre para la realización del tratamiento de datos objeto del presente acuerdo. Dicho acceso no constituye, en ningún caso, una comunicación de datos por parte de la UNIVERSIDAD XX XXXXXXX, ni siquiera a efectos de su conservación; tratándose de una simple entrega de los datos a los efectos de dar cumplimiento al contrato de servicios suscrito.
EL ENCARGADO DEL TRATAMIENTO, en el caso de que beba recoger datos en nombre de la UNIVERSIDAD XX XXXXXXX, debe facilitar al interesado la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato del documento elaborado al efecto, se deberán consensuar con la Universidad antes del inicio de la recogida de dichos datos.
EL ENCARGADO DEL TRATAMIENTO reconoce expresamente que los datos a los que tiene acceso son de exclusiva propiedad de la UNIVERSIDAD XX XXXXXXX, asumiendo las siguientes obligaciones:
a) No podrá aplicarlos o utilizarlos con fines distintos a los previstos en el contrato de prestación de servicios.
b) Se compromete a guardar secreto profesional respecto a todos los datos de carácter personal que conozca y a los que tenga acceso durante la realización del contrato de prestación de servicios, incluso una vez finalizado éste.
c) Igualmente, se obliga a custodiar e impedir el acceso a los datos de carácter personal a cualquier tercero ajeno al presente contrato.
d) Xxxx utilizará los datos personales objeto del tratamiento siguiendo las instrucciones emanadas de la Universidad xx Xxxxxxx, en su calidad de responsable del tratamiento, aun en el supuesto de trasferencias de datos personales a un tercer país o a una organización internacional.
Las anteriores obligaciones se extienden a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de EL ENCARGADO DEL TRATAMIENTO y subsistirán aun después de terminados los tratamientos efectuados.
Cualquier tratamiento de los datos que no se ajuste a lo dispuesto en el presente documento o venga impuesto por la normativa vigente, será responsabilidad exclusiva de EL ENCARGADO DEL TRATAMIENTO frente a terceros y frente a la Universidad, ante la que responderá por los daños y perjuicios que le hubiere podido causar, siendo considerado también responsable del tratamiento a estos efectos.
TERCERA. NATURALEZA, FINALIDAD Y LUGAR DEL TRATAMIENTO DE DATOS.
El tratamiento consistirá en [Descripción del tratamiento: actividades de recogida de datos, conservación, almacenamiento, supresión, grabación, etc.]
EL ENCARGADO DEL TRATAMIENTO declara que el tratamiento se realizará dentro del territorio de la Unión Europea.
En el caso de que el tratamiento se realizara fuera de la UE, se estará a lo establecido en el capítulo V del RGPD 2016/679.
CUARTA. CATEGORIAS DE INTERESADOS.
La UNIVERSIDAD XX XXXXXXX establece como interesados cuyos datos personales va a ser objeto de tratamiento: [En este apartado se consignará/n el/los colectivo/s cuyos datos personales van a ser objeto de tratamiento: pe. PAS, PDI, ESTUDIANTES, ALUMNOS EXTRANJEROS, … ]
QUINTA. OBLIGACIONES DEL ENCARGADO
Además de las expresadas a lo largo del clausulado del presente contrato, EL ENCARGADO DEL TRATAMIENTO asume las siguientes obligaciones:
a) Informará a la Universidad xx Xxxxxxx cuando considere que una instrucción sea contraria a la normativa de protección de datos personales aplicable en cada momento;
b) Se abstendrá de comunicar bajo ningún concepto los datos a terceros, salvo que cuente con autorización expresa y escrita de la Universidad o exista un mandato legal;
c) Comunicará y hará cumplir a aquellos de sus empleados asignados al tratamiento las obligaciones establecidas en el presente acuerdo, especialmente las relativas a medidas de seguridad.
d) Adoptará medidas razonables para garantizar que sólo el personal autorizado tiene acceso a los datos personales. Todo el personal del Encargado del Tratamiento que participe en el tratamiento de datos personales, tratará los datos con estricta sujeción a lo establecido en el presente contrato, salvo que el Derecho de la Unión o del Estado Miembro establezca lo contrario.
e) Mantendrá la confidencialidad de los datos personales a los que acceda y garantizará que las personas autorizadas a tratar mismos se comprometan, de forma expresa y por escrito, a respetar la confidencialidad de los mismos, debiendo tener a disposición de la UNIVERSIDAD XX XXXXXXX la documentación acreditativa de tal circunstancia.
f) Colaborará con la UNIVERSIDAD XX XXXXXXX en el cumplimiento de sus obligaciones en materia de:
Medidas de seguridad. (art. 32 RGPD)
Comunicación y/o notificación de brechas de seguridad. (arts. 33 y 34 del RGPD)
Colaboración en realización de evaluaciones de impacto y consultas previas, en su caso (art. 35 y 36 RGPD)
g) Llevará por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, cuando corresponda, de acuerdo con lo establecido en el art. 30.2 del RGPD.
h) EL ENCARGADO DEL TRATAMIENTO pondrá a disposición de la Universidad xx Xxxxxxx toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas de acuerdo al artículo 28 apartado 3. h) del RGPD, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte de la UNIVERSIDAD XX XXXXXXX o de otro auditor autorizado por la misma.
SEXTA.- EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN O SUPRESIÓN, O LA LIMITACIÓN DE SU TRATAMIENTO, OPOSICIÓN Y PORTABILIDAD DE LOS DATOS POR PARTE DE LOS INTERESADOS.
EL ENCARGADO DEL TRATAMIENTO trasladará a la UNIVERSIDAD XX XXXXXXX, a través de su Delegada de Protección de Datos, cualquier solicitud de ejercicio de derechos de acceso, rectificación o supresión, o la limitación de su tratamiento, oposición y portabilidad de los datos, que hubiese recibido por parte de los interesados cuyos datos sean objeto de tratamiento en el marco de la prestación del servicio, a fin de que sea resuelta por la UNIVERSIDAD XX XXXXXXX.
Xxxxx traslado deberá ser inmediato, EL ENCARGADO DEL TRATAMIENTO deberá remitir la solicitud a la Universidad xx Xxxxxxx en el plazo máximo de 5 días hábiles desde la recepción de la misma, a fin de respetar los plazos legalmente establecidos de atención al ejercicio de sus derechos por parte de los interesados, asumiendo la responsabilidad que se pueda derivar del incumplimiento de dichos plazos por causa imputable a la falta o tardanza en su comunicación.
A los efectos expresados en esta cláusula, el domicilio de la Delegada de Protección de Datos de la Universidad xx Xxxxxxx es el siguiente:
Rectorado. X/ Xxx Xxxxxxxx xx 0, 00000 Xxxxxxx. xxx@xx.xx
[Incluir Nombre y email de una persona del Servicio donde se realice el tratamiento de datos y/o de la persona de la persona responsable del contrato principal].
SÉPTIMA.- MEDIDAS DE SEGURIDAD.
EL ENCARGADO DEL TRATAMIENTO manifiesta cumplir con la normativa vigente en materia de Protección de Datos de Carácter Personal y, en particular, con las medidas de seguridad correspondientes a sus ficheros. [especificar y aportar, en su caso, las adhesiones a códigos de conducta o la posesión de certificados de protección de datos personales de la empresa] (artículo 28.5 RGPD).
EL ENCARGADO DEL TRATAMIENTO se compromete a aplicar a los datos facilitados por la UNIVERSIDAD XX XXXXXXX, las medidas de seguridad previstas en la sección 2 del Capítulo IV del RGPD, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y Garantía de los Derechos Digitales, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas con las categorías de datos tratados.
Estas medidas de seguridad, según se establece en la DA 1ª de la LOPD y GDD (LO 3/2018), se ajustan al Esquema Nacional de Seguridad. (Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica)”.
En todo caso se compromete a aplicar las que se especifican a continuación:
[Detallar las Medidas de Seguridad que se aplicarán.]
El incumplimiento de este compromiso será responsabilidad exclusiva de EL ENCARGADO DEL TRATAMIENTO, que responderá frente a terceros y frente a la propia Universidad de los daños y perjuicios que pudieran generarse.
OCTAVA.- VIOLACIONES DE SEGURIDAD
EL ENCARGADO DEL TRATAMIENTO notificará a la UNIVERSIDAD XX XXXXXXX dentro del plazo máximo 24 horas las violaciones de la seguridad de los datos personales de las que tenga conocimiento. Dicha comunicación se realizará a las siguientes direcciones:
Delegada de Protección de Datos de la US. Rectorado. X/ Xxx Xxxxxxxx xx 0, 00000 Xxxxxxx. xxx@xx.xx
Dicha notificación deberá incluir, como mínimo:
a) Empleado de la Universidad responsable del contrato principal;
b) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
c) Comunicación del nombre y los datos de contacto del Delegado de Protección de Datos de la empresa o de otro punto de contacto en el que pueda obtenerse más información;
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
d) Descripción de las medidas adoptadas o propuestas por EL ENCARGADO DEL TRATAMIENTO para poner remedio a la violación de la seguridad de los datos personales, incluyendo si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida;
NOVENA.- SUBCESIONES
EL ENCARGADO DEL TRATAMIENTO se compromete a no realizar ninguna cesión de los datos a los que acceda salvo que tal cesión fuese imprescindible para la efectiva prestación del servicio, en cuyo caso, deberá solicitar a la UNIVERSIDAD XX XXXXXXX su autorización previa. En este caso, la Universidad podrá otorgarla o resolver el contrato de servicios con EL ENCARGADO DEL TRATAMIENTO. Indicar plazos de autorización-----------
DÉCIMA.- SUBCONTRATACIÓN
Si durante la prestación del servicio resultase necesario subcontratar todo o una parte de éste, dicha subcontratación deberá ser previamente autorizada por escrito, de forma específica o general por la UNIVERSIDAD XX XXXXXXX. En este último caso, el encargado informará al responsable en el plazo de -------------- de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así a la Universidad xx Xxxxxxx la oportunidad de oponerse a dichos cambios en el plazo de------------------.
En el caso que la UNIVERSIDAD XX XXXXXXX accediera a autorizar al ENCARGADO DEL TRATAMIENTO, ésta se obliga a exigir contractualmente al subcontratista, la implementación de al menos las mismas medidas de seguridad previstas en el presente acuerdo. Dicho contrato, que será por escrito, deberá contener expresa mención a las instrucciones dictadas por la UNIVERSIDAD XX XXXXXXX en relación con la prestación del servicio, sin perjuicio de cualesquiera otras adicionales que EL ENCARGADO DEL TRATAMIENTO exija al subcontratista en el marco de las establecidas por la UNIVERSIDAD XX XXXXXXX.
El subcontratista será considerado encargado del tratamiento asumiendo las obligaciones derivadas de tal condición.
El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
(En caso de ser conocida previamente la necesidad de subcontratación dicha cláusula será sustituida por la siguiente):
La UNIVERSIDAD XX XXXXXXX, autoriza expresamente y mediante la presente estipulación, a [denominación empresa], la cual acepta, a subcontratar los siguientes servicios:
[en su caso, especificar, y aportar, las adhesiones a códigos de conducta o la posesión de certificados de protección de datos personales de la empresa que sirven de garantía según art. 28.5 ]
UNDÉCIMA.- INFORMACIÓN SOBRE EL PERSONAL DEPENDIENTE DEL PRESTADOR DEL SERVICIO
En el caso en que EL ENCARGADO DEL TRATAMIENTO aporte documentos que contengan datos de carácter personal de sus trabajadores o de terceros a la UNIVERSIDAD XX XXXXXXX, ya sea durante la presentación de la oferta o la ejecución del contrato, garantiza que dicha información procede de tratamientos que tiene registrados convenientemente y cumple todas las garantías previstas en el RGPD respecto al derecho de información y en su caso consentimiento de los interesados para llevar a cabo la cesión de datos a la UNIVERSIDAD XX XXXXXXX.
EL ENCARGADO DEL TRATAMIENTO únicamente comunicará a la UNIVERSIDAD XX XXXXXXX datos de carácter personal adecuados, pertinentes y no excesivos en relación con las necesidades de la prestación del servicio objeto del presente contrato, garantizando que dichos datos sean exactos y puestos al día, y obligándose a comunicar a la UNIVERSIDAD XX XXXXXXX en el plazo legalmente establecido al efecto aquellos que hayan sido rectificados y/o deban ser cancelados según proceda.
DUODÉCIMA.- DURACIÓN DEL CONTRATO Y DESTINO DE LOS DATOS.
El presente contrato finalizará su duración cuando lo haga el contrato principal del que trae causa y los efectos jurídicos que sean derivados de éste relacionados con la protección de los datos a los que haya tenido acceso.
Una vez realizada la prestación del servicio, EL ENCARGADO DEL TRATAMIENTO destruirá a la mayor brevedad los datos proporcionados por la Universidad xx Xxxxxxx o, en su caso, procederá a su devolución si ésta así se lo solicitare.
La anterior obligación de destrucción o devolución se extenderá a cualquier elaboración de los datos y a los soportes o documentos en que se halle recogida la información y a las copias existentes. A tal efecto, EL ENCARGADO DEL TRATAMIENTO deberá expedir certificado acreditativo de la devolución y/o destrucción de los datos, así como de la ausencia de copias de los mismos.
De igual forma, EL ENCARGADO DEL TRATAMIENTO se compromete, en caso de destruir la información, a llevar a cabo este proceso de forma segura y confidencial, adoptando las medidas de índole organizativa y técnica necesarias para garantizar la no recuperación de los datos y, por tanto, la no utilización de los mismos con posterioridad o el acceso por parte de terceros no autorizados.
En caso de ser necesario que EL ENCARGADO DEL TRATAMIENTO requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros o una parte de los mismos a efectos de la atención de posibles responsabilidades que pudiesen derivarse del tratamiento, éstos deberán permanecer convenientemente bloqueados hasta que transcurran los plazos de prescripción correspondientes, momento en que deberán ser destruidos. La Universidad xx Xxxxxxx deberá tener conocimiento de ellos, así como de las medidas que garanticen el adecuado bloqueo de los datos y finalmente su destrucción/devolución en el plazo establecido.
UNIVERSIDAD XX XXXXXXX [denominación empresa]
FDO. Xxxx Xx del Xxxxxx Xxxxxxx Xxxxxx [nombre y apellidos]
v.9.2020