Contrato de Prestación de Servicios LOPDGDD
Contrato de Prestación de Servicios LOPDGDD
Condiciones Generales de Contratación
REUNIDOS
De una parte, el CLIENTE, identificado en las Condiciones Particulares del presente Contrato de Prestación de Servicios LOPDGDD (en adelante Contrato), representada por la persona que en las mismas se indica (en adelante, el CLIENTE) y de otra, CONSTRUYENDO FUTURO INFORMÁTICO SL, con NIF B34222950, domiciliada en Avda. Madrid, 10 · 34004 Xxxxxxxx · España (en adelante, GRUPO CFI), representada por la persona que se identifica en la Condiciones Particulares del presente Contrato.
MANIFIESTAN
i. Que ambas partes se reconocen capacidad legal suficiente para suscribir el presente Contrato.
ii. Que GRUPO CFI es una empresa de consultoría especializada en el asesoramiento a las empresas en el ámbito de la ciberseguridad, la protección de datos personales y la LSSICE.
iii. Que el CLIENTE es una empresa u organización que está interesada en contratar los servicios de GRUPO CFI.
iv. Que la documentación contractual está constituida por las presentes Condiciones Generales, sus Anexos y las Condiciones Particulares.
v. Que para efectuar las comunicaciones, así como la entrega de documentación generada con ocasión del presente Contrato, se utilizarán los siguientes medios: a) correo electrónico proporcionado por el CLIENTE para estos fines; b) servicios “online” que GRUPO CFI ponga a disposición del CLIENTE; c) envío al domicilio consignado en las Condiciones Particulares del contrato.
vi. Que ambas partes han acordado celebrar el presente Contrato de asesoramiento y colaboración, con base a las siguientes CONDICIONES GENERALES, ANEXOS y CONDICIONES PARTICULARES.
01. Términos y definiciones
CONDICIONES GENERALES
Estos son algunos de los términos y definiciones contenidos en las presentes Condiciones Generales.
RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. LSSICE: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
LGDCU: Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
DPD o DPO: Delegado de Protección de Datos. AEPD: Agencia Española de Protección de Datos.
02. Legislación aplicable
La legislación sobre la que se ofrece asesoramiento a través de este Contrato es, exclusivamente, la siguiente:
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
03. Objeto del contrato
El presente Contrato tiene por objeto establecer las condiciones del encargo a GRUPO CFI por el CLIENTE para realizar los servicios objeto de contratación, así como el alcance de dichos servicios, y en su caso, los límites de los mismos.
Las actividades de asesoramiento y apoyo que GRUPO CFI desarrollará para el CLIENTE son las especificadas, expresa y taxativamente, en las Condiciones Particulares del presente Contrato y descritas en su contenido y alcance en los Anexos de estas Condiciones Generales.
04. Duración y vigencia del contrato
Tiene una duración de un año desde la fecha indicada en el contrato y será prorrogado de forma tácita por periodos anuales salvo si alguna de las partes se opone mediante notificación fehaciente a la otra, como mínimo dos meses antes del vencimiento del plazo inicial pactado o cualquiera de sus prórrogas.
Este contrato se formaliza y entra en vigor una vez esté firmado por el CLIENTE y abonado el importe de los pagos acordados. A tal efecto, se considera perfeccionado el contrato en el momento en que el cliente ha abonado la cuota de alta del servicio. Hasta dicho momento, el presente contrato carecerá de eficacia y, por tanto, no vinculará a las partes. La cuota anual total del contrato se dividirá en 12 pagos mensuales, siendo abonado el primer plazo en el mes de contratación o renovación del contrato, en su caso.
05. Obligaciones de GRUPO CFI
Son obligaciones de GRUPO CFI las siguientes:
• Facilitar al CLIENTE los entregables y la documentación correspondiente a los servicios contratados.
• Asesorar al CLIENTE, al personal, a sus representantes y a los órganos de representación especializados a través de la persona que el CLIENTE ha designado como interlocutor, según los servicios contratados.
• Tratar con la debida confidencialidad los datos aportados por el CLIENTE durante la prestación de los servicios.
• Realizar al CLIENTE la actividad o actividades contratadas durante el periodo de vigencia del Contrato o de cualquiera de sus prórrogas.
06. Obligaciones del CLIENTE
Son obligaciones del CLIENTE las siguientes:
• Permitir el acceso, en su caso, de las personas designadas por GRUPO CFI para prestar todos o parte de los servicios contratados para la correcta ejecución del presente Contrato, así como el uso de medios técnicos necesarios para ello.
• Designar un interlocutor debidamente informado y formado para el intercambio de información entre el CLIENTE y GRUPO CFI respecto a la correcta ejecución del presente Contrato y comunicar a GRUPO CFI cualquier cambio en el mismo. En el caso de que dicha designación no se produzca expresamente, se entenderá que asume estas funciones el firmante del Contrato.
• Poner a disposición de GRUPO CFI toda la información sobre la información y los datos que maneja, los medios y canales utilizados para recabarla y tratarla, proveedores externos, personal, y demás información y documentación necesaria para que GRUPO CFI pueda prestar sus servicios de forma idónea.
• Ofrecer al personal de su organización y, en su caso, a sus proveedores, los documentos pertinentes para su firma y asegurarse de que son firmados por ellos, así como la custodia de los mismos una vez firmados.
• Informar al personal de su organización sobre sus obligaciones y derechos en materia de protección de datos, así como colocar, en su caso, los carteles informativos apropiados.
• Comunicar de forma fehaciente a GRUPO CFI la existencia de personal de nueva incorporación y la solicitud de formación.
• Analizar la documentación que GRUPO CFI le ha facilitado y comunicarle, en su caso, las omisiones, defectos o inexactitudes que puedan existir en la misma, ya que a falta de esta comunicación se entiende que la documentación ha tenido en cuenta todas las instalaciones, medios e información que maneja el CLIENTE.
• Proporcionar a GRUPO CFI una dirección de correo electrónico a efectos de notificación, comunicación y envío de documentación.
• Asumir directamente y bajo su total responsabilidad la ejecución y puesta en marcha de las tareas y actividades indicadas por GRUPO CFI (en su caso, firma de documentos, colocación de carteles, implantación de medidas, etc.), al ser GRUPO CFI órgano asesor externo al CLIENTE que no puede legalmente ejercer directamente la dirección de las actividades a aplicar por el CLIENTE.
• Comunicar a GRUPO CFI de forma fehaciente las solicitudes de atención de derechos y/o las brechas de seguridad que se produzcan para que puedan ser atendidas en tiempo y forma por parte del CLIENTE, con el apoyo de GRUPO CFI.
Las actividades encomendadas a GRUPO CFI se efectuarán en función de la información facilitada por el CLIENTE, por lo que, GRUPO CFI no asume responsabilidad alguna de los supuestos de error o ausencia, total o parcial, de dicha información.
El incumplimiento de los anteriores compromisos exonerará a GRUPO CFI de cualquier obligación o responsabilidad derivada de la falta de ejecución total o parcial del concierto o del incumplimiento defectuoso del mismo, derivado de una información parcial, incompleta o inexacta, respondiendo el CLIENTE ante la Administración, su personal, socios y colaboradores o terceros.
07. Medios
GRUPO CFI dispondrá de la organización, instalaciones, personal y equipos necesarios para llevar a cabo las actividades contratadas en las Condiciones Particulares, comprometiéndose a dedicar anualmente los recursos humanos y materiales necesarios para la correcta realización de las actividades.
No obstante, GRUPO CFI podrá desarrollar las actividades concertadas con medios propios o subcontratar los servicios que considere precisos para atender las actividades para las que ha sido contratada. A tal efecto, el CLIENTE autoriza a GRUPO CFI a transmitir toda la información necesaria al agente o subcontratista con dicho fin.
Para las actuaciones en remoto, GRUPO CFI será el responsable de gestionar y enviar el enlace al sistema utilizado para realizar la reunión remota (en adelante, “Plataforma Online”). Durante la prestación de los servicios, GRUPO CFI podrá captar, recabar, editar y copiar, en su caso, imágenes, vídeos y sonido con la finalidad exclusiva de prestar los servicios solicitados.
GRUPO CFI no otorga garantía alguna, ni de ningún tipo relacionada directa o indirectamente con el adecuado funcionamiento, disponibilidad y/o seguridad (total ni parcial) de la Plataforma Online. GRUPO CFI tampoco otorga garantía alguna, ni de ningún tipo, relacionada directa o indirectamente con el servicio ininterrumpido ni libre de error (total ni parcial) de la Plataforma Online.
08. Ejecución de los servicios y facturación
A) Trabajos iniciales
Los trabajos darán comienzo una vez haya recibido GRUPO CFI las Condiciones Particulares del Contrato firmadas por el CLIENTE.
Una vez recibido dicho documento, GRUPO CFI se pondrá en contacto con la persona indicada en las Condiciones Particulares de este Contrato a través de los medios de contacto que el CLIENTE ha indicado para acordar la/s fecha/s y hora/s en las que se llevará a cabo la consultoría. Para la consultoría por videoconferencia, se mandará la convocatoria al correo electrónico indicado por la persona de contacto del CLIENTE.
Una vez finalizada la consultoría, GRUPO CFI elaborará la documentación pertinente, en función de los servicios contratados y se la facilitará al CLIENTE a través de los medios técnicos acordados (en su caso, envío por correo electrónico, puesta a disposición a través de una plataforma para su descarga y/o envío a la dirección postal indicada en las Condiciones Particulares de este Contrato).
En todo momento el CLIENTE dispondrá de los siguientes canales de contacto para solucionar las dudas o consultas que se le planteen en relación a la documentación o los servicios prestados: a) envío de consultas a través la plataforma habilitada para el CLIENTE (canal preferente); b) llamada telefónica al 000 000 000 o 000 000 000.
La emisión de las facturas y el cobro de las mismas se realizará conforme a estas condiciones:
• La cuota de alta se facturará en el momento de la contratación del servicio, esta cuota tiene ya incluida la primera cuota mensual de la totalidad anual del contrato.
• Las siguientes cuotas mensuales se facturarán en periodos de un mes natural, sucesivamente hasta la extinción del contrato.
B) Auditoría y revisión periódica
Al llegar el momento de la auditoría y revisión (que por defecto tendrá una periodicidad anual), GRUPO CFI se pondrá en contacto con el CLIENTE para acordar la fecha y hora apropiadas para llevar a cabo la auditoría y revisión de la implantación. Si el cliente no encuentra disponibilidad para reunirse en las fechas propuestas para la revisión, GRUPO CFI revisará de oficio la documentación y enviará al cliente las actualizaciones y cambios aplicados, junto con el enlace al calendario de reservas para coordinar una nueva reunión con el consultor a criterio del CLIENTE.
C) Servicios adicionales
Una vez realizados los trabajos iniciales de consultoría, o en su caso, las auditorías y revisiones periódicas, si el CLIENTE requiere de la presencia de algún Consultor de GRUPO CFI, ya sea física o telemática, para alguna cuestión (como por ejemplo, para que asista a reuniones con la organización o con terceras entidades, o para la revisión detallada de alguna de las medidas) el tiempo empleado en dichas actividades será facturado al CLIENTE según las tarifas establecidas.
09. Propiedad intelectual de los trabajos
GRUPO CFI ostenta todos los derechos de propiedad intelectual sobre su conocimiento, metodologías, bases de datos de información, referencias, modelos, diseños, herramientas y técnicas que pone a disposición del CLIENTE para la ejecución de los servicios objeto del Contrato y la elaboración de los entregables del mismo.
Dichos derechos de propiedad intelectual no son transferidos al CLIENTE por la ejecución de los servicios y entregables, objeto del Contrato, sino que GRUPO CFI conserva, en todo momento, la titularidad de todos los derechos de propiedad intelectual de todo lo aportado al CLIENTE (incluyendo los entregables), incluso tras la finalización de la prestación de sus servicios.
Con objeto de que el CLIENTE pueda hacer un uso interno de los entregables aportados, se le concede una licencia de uso de dichos entregables al CLIENTE. Esta licencia es concedida, exclusivamente, al CLIENTE contratante y es intransferible.
Aquellos documentos entregados por GRUPO CFI que, tras su firma por terceros, ejerzan un vínculo jurídico entre el CLIENTE y este tercero, son propiedad del CLIENTE con carácter singular, no pudiendo ser usados como modelo para redacción de otros documentos similares, al tratarse de contenido sujeto a la propiedad intelectual definida en este punto.
10. Condiciones económicas y estructura de la entidad
Las condiciones económicas del Contrato, forma de pago y periodo de liquidación por la prestación de los servicios quedan establecidas en las Condiciones Particulares del Contrato.
El precio que allí se estipula se basa en la información declarada por el CLIENTE (total empleados, sedes y otros elementos variables) y las circunstancias conocidas en la fecha de formalización del Contrato y en sus renovaciones posteriores.
No obstante, las Condiciones Particulares, así como todas las estipulaciones en estas Condiciones Generales mantendrán su validez mientras que el CLIENTE no varíe su estructura (número total de empleados, sedes, tipo de información que maneja, y otros elementos variables).
Las variaciones que se produzcan en su estructura deben ser comunicadas por el CLIENTE inmediatamente a GRUPO CFI, y en todo caso, en el plazo máximo de un mes, a los efectos de poderse llevar a cabo una modificación de las condiciones contratadas por las partes, en aras de posibilitar la eficaz prestación de las actividades objeto del Contrato.
Si al realizar la prestación del servicio (ya sea la consultoría inicial o las revisiones periódicas) se detecta que la estructura declarada por el CLIENTE difiere de la realidad, el contrato se actualizará de forma automática, en base a la estructura real de la entidad en ese momento, o en su caso, se rescindirá si GRUPO CFI observa que la diferencia entre la realidad y lo declarado es tal que esto invalida la propuesta económica realizada.
Asimismo, el importe de la cuota a abonar podrá ser actualizado en los periodos de duración de este contrato según las variaciones que se produzcan en el IPC (Índice de Precios al Consumo), además de los cambios que de un periodo a otro se produzcan en la estructura de la entidad o servicios a prestar.
11. Política de devoluciones
Cuando la forma de pago elegida sea domiciliación bancaria, la devolución de cada factura pasada al cobro conllevará unos gastos de un 2% del importe de la factura girada, con un mínimo de 8,50€ en concepto de gastos de gestión.
12. Suspensión de los servicios
El retraso en el pago del precio acordado, sea total o parcial, o de cualquiera de los plazos previstos para ello, implicará la suspensión automática de la vigencia del Contrato y de todos los servicios desde la fecha en que se produjo el impago, sin que la regularización de la situación implique recuperar dichos servicios de forma retroactiva, y sin necesidad de comunicación en tal sentido por parte de GRUPO CFI, que podrá suspender inmediatamente la ejecución de las actividades, accesos a documentación y funciones objeto del Contrato en el estado en que se encuentren, exonerándose a GRUPO CFI de cualquier obligación o responsabilidad derivada de la falta de ejecución total o parcial de los servicios, respondiendo por este hecho el CLIENTE ante la Administración, sus trabajadores, socios y colaboradores o terceros.
13. Extinción del Contrato a instancia del CLIENTE
El incumplimiento de cualquiera de las obligaciones asumidas por GRUPO CFI en virtud de este Contrato será causa de resolución del mismo a instancia del CLIENTE contratante. En este caso, será condición imprescindible para que sea efectiva la extinción del Contrato, el envío de un escrito de solicitud de baja firmado por el CLIENTE, en el que indique la causa de resolución y la fecha en la que ha de hacerse efectiva la misma. Una vez tramitada la baja y resuelto el Contrato, GRUPO CFI quedará exonerada de cualquier obligación contractual o responsabilidad en relación a los servicios que venía prestando. En caso de que existiesen servicios pendientes de pago por parte del CLIENTE, deberán ser abonados a GRUPO CFI. Asimismo, se acuerda que, independientemente de los importes de los servicios antes señalados, en ningún caso procederá la devolución del importe ya facturado por GRUPO CFI. La terminación del contrato no exonera al cliente de cumplir con sus obligaciones de pago de la totalidad de los meses pendientes de la cuota anual, desde el momento de la extinción hasta su siguiente periodo de renovación.
14. Extinción del Contrato a instancia de GRUPO CFI
La falta de pago de la contraprestación económica pactada o de cualquier otra cantidad derivada de la ejecución de este Contrato, el incumplimiento por parte del CLIENTE de su deber de colaboración con GRUPO CFI, así como el incumplimiento de cualesquiera de las obligaciones reseñadas en el punto 06 de este Contrato será causa de resolución del mismo a instancia de GRUPO CFI. En este caso, GRUPO CFI comunicará al CLIENTE contratante su voluntad de resolver el Contrato, quedando exonerada de cualquier obligación contractual o responsabilidad en relación a los servicios que venía prestando desde el momento en que se hubiese producido el hecho motivante de la resolución unilateral y sin que tampoco se pueda responsabilizar a GRUPO CFI desde ese momento de las modificaciones que puedan afectar al contenido de la documentación elaborada para el CLIENTE. En caso de que existiesen servicios pendientes de pago por parte del CLIENTE, deberán ser abonados a GRUPO CFI. Así mismo, se acuerda que, independientemente de los importes de los servicios antes señalados, en ningún caso procederá la devolución del importe ya facturado por GRUPO CFI. La terminación del contrato no exonera al cliente de cumplir con sus obligaciones de pago de la totalidad de los meses pendientes de la cuota anual, desde el momento de la extinción hasta su siguiente periodo de renovación
15. Condiciones no recogidas inicialmente
El presente Contrato podrá ser completado, por acuerdo de las partes, mediante otros documentos anexos complementarios que contengan acuerdos sobre otras actividades no recogidas en estas Condiciones Generales y Particulares.
16. Nulidad de Contratos precedentes
Este Contrato anula cualquier otro anterior establecido con GRUPO CFI, salvo que se trate de un anexo complementario en los términos previstos en la cláusula anterior.
17. Uso de la marca
El CLIENTE autoriza a GRUPO CFI para que pueda incluir su nombre comercial y logotipo en los sitios web de GRUPO CFI así como en soportes publicitarios (como catálogos, folletos, etc.). En caso de que el CLIENTE no desee que GRUPO CFI utilice su nombre comercial y logotipos, tan solo debe comunicarlo a GRUPO CFI.
18. Protección de datos personales
GRUPO CFI, para la prestación de los servicios detallados en este contrato, actúa como Encargado del tratamiento del CLIENTE. A tal efecto, y de conformidad con el artículo 28 del REGLAMENTO (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, ambas partes convienen en suscribir el acuerdo detallado en el Anexo III de este Contrato para regular el acceso a los datos personales en el marco de la prestación de los servicios proporcionados por GRUPO CFI.
19. Responsabilidad
Los servicios de asesoramiento ofrecidos en este Contrato no suponen un traslado de la responsabilidad del CLIENTE hacia GRUPO CFI.
Toda la documentación elaborada, así como el asesoramiento ofrecido, se basa en la información que el CLIENTE suministra a GRUPO CFI y por tanto, el CLIENTE es el único responsable de que dicha información sea veraz y refleje, en todo momento, la realidad de su organización.
El CLIENTE es el único responsable en todo momento del correcto cumplimento de la normativa de protección de datos personales y la LSSICE en su organización, así como de aplicar los protocolos, controles y medidas de seguridad indicadas.
20. Validez de las disposiciones y fuero
Si cualquiera de las disposiciones de las presentes Condiciones Generales se tuviera por no válida, nula o ilegal, la validez, legalidad y cumplimiento de las restantes disposiciones no se verán afectadas ni perjudicadas por ello.
Para cuantas cuestiones se puedan suscitar de la interpretación o aplicación del presente contrato, ambas partes, con renuncia expresa a su propio fuero, se someten a los Juzgados y Tribunales xx Xxxxxxxx.
Y así, en prueba de conformidad del presente Contrato y sus respectivos anexos, las partes intervinientes formalizan y suscriben por duplicado los ejemplares de las Condiciones Particulares de este Contrato.
ANEXOS
Forman parte integrante de este Contrato los siguientes Anexos:
ANEXO I: ALCANCE DE LOS SERVICIOS PRESTADOS
Se prestarán al CLIENTE, exclusivamente, los servicios que están descritos en las Condiciones Particulares del presente Contrato. El alcance de los servicios, y en su caso, las exclusiones, se detallan a continuación.
I. Consultoría/auditoría personalizada
Incluye la realización de la/s toma/s de datos necesaria/s para prestar el servicio y elaborar o actualizar la documentación, a no ser que se pacten otras condiciones. Incluye la toma de datos mediante videoconferencia, revisión de documentación, evaluación de riesgos, determinación de flujos de datos, determinación de medidas de seguridad y aquellos análisis necesarios para realizar la implantación de las normativas. No están incluidas las Evaluaciones de Impacto relativas a la Protección de Datos (a no ser que se recoja este servicio específicamente en el contrato). A tal efecto, el CLIENTE debe facilitar a GRUPO CFI toda la información que le solicite para poder llevar a cabo el servicio.
II. Elaboración de documentación personalizada para el cumplimiento
Se realizará la elaboración o actualización de la documentación necesaria para cumplir con los requisitos legales. En concreto, se entregará, exclusivamente, la siguiente documentación:
• Documento de Cumplimiento.
• Análisis de la necesidad de realizar Evaluación de Impacto relativa a la Protección de Datos.
• Registro de Actividades de Tratamiento.
• Análisis de riesgos.
• Medidas de Seguridad.
• Funciones y obligaciones del personal en materia de protección de datos.
• Perfiles de usuario y accesos autorizados.
• Compromisos de confidencialidad.
• Contratos de acceso a datos con los encargados, en su caso.
• Contratos de acceso a datos con los responsables, en su caso.
• Registro de incidencias.
• Protocolos de atención a los derechos.
• Cláusulas legales.
• Redacción y publicación de Políticas de Privacidad.
• Normas de uso de los dispositivos digitales.
• Política de desconexión digital, en su caso.
• Cartel de videovigilancia, en su caso.
La elaboración de cláusulas y otros documentos personalizados no incluye la maquetación del texto en los documentos finales. Se proporcionarán, exclusivamente, los textos que deben incluirse, debiendo el cliente de maquetarlos a su conveniencia. Tampoco está incluida la elaboración de ningún tipo de documentación que no tenga referencia directa con la normativa de protección de datos personales aplicable en España. Queda bajo responsabilidad exclusiva del CLIENTE la inclusión de las cláusulas legales en la documentación y lugares pertinentes, la firma de los contratos y compromisos proporcionados, y la aplicación de las medidas de seguridad y los protocolos correspondientes, así como la comunicación de los cambios que se produzcan en la organización del CLIENTE a GRUPO CFI para que pueda elaborar o modificar la documentación que sea necesaria para el correcto cumplimiento de la normativa de protección de datos personales.
La documentación se facilitará a través del envío de unas credenciales de acceso una plataforma online para la puesta a disposición, de forma segura, de toda esta documentación al CLIENTE. El receptor de estas credenciales de acceso es responsable de su uso y custodia.
III. Análisis de riesgos y medidas de seguridad
Incluye la realización del análisis de riesgos que exige la normativa de protección de datos personales, en función de los distintos activos que tenga la organización, y la identificación de las medidas de seguridad que el CLIENTE debe aplicar para mitigarlos.
Es responsabilidad exclusiva del CLIENTE la aplicación de las medidas de seguridad, técnicas y organizativas indicadas por GRUPO CFI para una eficaz mitigación de los riesgos identificados.
IV. Asesoramiento en la gestión de brechas de seguridad
Incluye el asesoramiento necesario para que el CLIENTE, una vez ha detectado una brecha de seguridad, realice el informe requerido sobre la misma y realice, en caso necesario, la notificación pertinente a la Agencia Española de Protección de Datos (AEPD).
Este servicio no incluye la elaboración del informe requerido, ni tampoco la notificación de la brecha a la AEPD. Si el CLIENTE desea que elaboremos el informe requerido, así como, en su caso, la realización de la comunicación de la misma a la AEPD, se realizará como un servicio independiente previa aceptación del presupuesto por parte del CLIENTE.
V. Línea de asistencia legal LOPDGDD
Incluye la resolución de consultas, exclusivamente, sobre la normativa de protección de datos personales aplicable en España que afecten al CLIENTE.
Incluye también la asesoría, redacción y puesta a disposición del cliente de los modelos necesarios para atender los derechos de los afectados por el tratamiento de datos que los soliciten de manera formal. No está incluida la verificación de entrega y acuse de recibo por parte de los interesados.
Para poder verificar la identidad del CLIENTE y su personal, es imprescindible que las consultas se realicen a través de la plataforma que proporciona GRUPO CFI.
Quedan excluidas cuestiones sobre LSSICE y comercio electrónico (a no ser que el CLIENTE tenga contratado dicho servicio).
El asesoramiento legal no incluye la elaboración de documentación o informes por escrito, ni el asesoramiento sobre cuestiones de la normativa de protección de datos que no afecten directamente al CLIENTE que ha contratado el servicio. A tal efecto, no está incluido en este servicio la resolución de dudas o cuestiones personales de los miembros de la organización del CLIENTE.
VI. Defensa jurídica ante la AEPD
Incluye la puesta a disposición de un abogado para la defensa jurídica del CLIENTE en caso de que reciba un requerimiento por parte de la AEPD por una posible vulneración de la LOPDGDD y/o el RGPD, hasta agotar la vía administrativa con la misma.
Para poder disfrutar de este servicio es imprescindible que el CLIENTE haya realizado la implantación efectiva de los requisitos legales y medidas de seguridad que establece la normativa y que le hemos indicado durante la implantación. Incluye asimismo la asistencia durante las posibles inspecciones presenciales de la AEPD en la sede principal del cliente.
También es imprescindible que el CLIENTE esté al corriente de los pagos acordados en su fecha. El servicio de Defensa Jurídica no incluirá aquellos requerimientos que se hayan originado por hechos ocurridos antes del inicio del contrato. Del mismo modo, una vez iniciada la prestación de este servicio a consecuencia de un requerimiento de la AEPD, es imprescindible que el cliente mantenga la vigencia del contrato para darle continuidad.
Este servicio está limitado a la atención de un requerimiento por año y siempre que el contrato esté vigente. En caso de que el CLIENTE reciba, en un mismo año, más de un requerimiento, se atenderán los siguientes previo abono del importe del servicio según las tarifas establecidas. El servicio de Defensa Jurídica no incluirá la atención de procedimientos que el propio CLIENTE decida iniciar, ni los requerimientos ocasionados a consecuencia de alguna acción realizada por el CLIENTE en materia de protección de datos o LSSICE que no haya sido previamente consultada, o bien, desaconsejada de forma expresa por GRUPO CFI.
El servicio de Defensa Jurídica no incluye la defensa de requerimientos relacionados con la LSSICE, ni relativas a comercio electrónico.
Si al momento de ser necesaria la prestación de este servicio la declaración de la estructura del CLIENTE (recogida en las Condiciones Particulares de este Contrato) que ha realizado el CLIENTE difiere de la realidad, o se hubieran omitido requerimientos o sanciones anteriores a la firma de este contrato, se facturará al cliente el coste íntegro del servicio de Defensa Jurídica según la tarifa de precios vigente en ese momento, pues las condiciones económicas del contrato no estaban adecuadamente dimensionadas para dicha estructura. Dicho coste será informado antes y autorizado expresamente por el CLIENTE.
VII. Aplicaciones de gestión LOPDGDD
Incluye la licencia de acceso de un usuario a la/s plataforma/s de gestión de documentación de protección de datos de GRUPO CFI, el periodo de uso de la licencia es el mismo que el del contrato de servicios y están expresadas en la Cláusula 4 de las Condiciones Generales.
Cada una de estas licencias son de carácter individual, y sólo pueden usarse para realizar la gestión de la LOPDGDD de una única entidad por parte de un usuario. No está permitido el uso de una misma licencia para realizar la implantación y gestión de la LOPDGDD de más de una entidad.
La adquisición de la licencia únicamente otorga el uso de la plataforma al CLIENTE por un periodo de tiempo limitado, siendo siempre el software propiedad de GRUPO CFI y estando en todo momento en los servidores de GRUPO CFI. Asimismo, GRUPO CFI se reserva en todo momento el derecho a vender, o no, licencias a quien considere oportuno.
La plataforma y los datos introducidos estarán disponibles mientras se abone la cuota conforme a las condiciones indicadas en las Condiciones Generales.
Es requisito imprescindible para el uso de la/s plataforma/s que el CLIENTE disponga de conexión a internet y navegador. Con el uso de la/s plataforma/s de gestión LOPDGDD, se incluyen, exclusivamente, los siguientes servicios:
• Acceso a los datos de las entidades cuya licencia de uso anual no haya expirado (siempre que se esté al corriente de pago).
• Soporte para resolución de incidencias técnicas vía e-mail.
• Actualizaciones legales (de forma que la documentación generada cumpla en todo momento la normativa vigente).
VIII. Seguro de Responsabilidad Civil (1.000.000 €)
Este Contrato está cubierto por un seguro de Responsabilidad Civil de hasta 1.000.000 €. Dicho seguro cubre los daños y perjuicios que se puedan ocasionar a un CLIENTE, causados por un posible error o negligencia por parte de GRUPO CFI, en la ejecución de los trabajos objeto del presente Contrato.
IX. Sello + Certificado de implantación
Se enviará un sello en formato pegatina para cada establecimiento incluido en el contrato. La pegatina es intransferible y solo puede ser colocada en los establecimientos previamente adaptados. También se enviará por correo electrónico un sello que el CLIENTE puede colocar en su documentación y sitio web para mostrar a terceros su compromiso con el cumplimiento de la normativa de protección de datos personales. Dicho sello solo puede ser usado por el CLIENTE durante la vigencia de este contrato. Si el cliente decide prescindir del servicio, debe retirar inmediatamente las pegatinas y sellos de su documentación.
Se habilitará un certificado de implantación realizada, accesible online, que tendrá una duración equivalente al contrato de servicios, y que será renovado en los mismos periodos anuales. Para mantener la vigencia del certificado es imprescindible que el CLIENTE tenga el contrato en vigor.
Los sellos y el certificado de implantación realizada son una evidencia pública de que la entidad está comprometida con el cumplimiento y es asesorada por una entidad externa especializada. En ningún caso sirven como certificación oficial de cumplimiento legal.
X. Asesoramiento en campañas de Marketing
Incluye la resolución de dudas y cuestiones referentes al correcto cumplimiento de la normativa de protección de datos en la realización de las campañas de Marketing que realice el CLIENTE. Las consultas se realizarán a través de la plataforma proporcionada por GRUPO CFI a tal efecto.
XI. Asesoramiento en publicación de Redes Sociales
Incluye la resolución de dudas y cuestiones referentes al correcto cumplimiento de la normativa de protección de datos en las publicaciones y campañas en Redes Sociales que realice el CLIENTE. Las consultas se realizarán a través de la plataforma proporcionada por GRUPO CFI a tal efecto.
XII. Asesoramiento en tratamiento de imágenes
Incluye la resolución de dudas y cuestiones referentes al correcto cumplimiento de la normativa de protección de datos en el tratamiento de imágenes (de clientes, personal, socios, etc.) que realice el CLIENTE. Las consultas se realizarán a través de la plataforma proporcionada por GRUPO CFI a tal efecto.
XIII. Boletín mensual LOPDGDD
Incluye el envío, todos los meses, de un boletín electrónico informativo con noticias referentes a la normativa de protección de datos personales y su aplicación en las entidades, a la dirección de correo electrónico proporcionada por el CLIENTE.
El boletín es para uso personal del CLIENTE, e intransferible sin autorización previa.
XIV. Adaptación del sistema de videovigilancia
Incluye la incorporación del sistema de videovigilancia en la documentación, y los carteles informativos necesarios en papel. Dichos carteles deben colocarse en los lugares de acceso a las zonas video vigiladas y se han de indicar, obligatoriamente, la denominación del responsable del tratamiento, el medio para atender los derechos de los interesados y el modo de obtener la información adicional.
No está permitido recoger la vía pública.
Queda excluido de este servicio la revisión de las imágenes y/o el asesoramiento para la colocación de las cámaras, tareas que deberán ser realizadas con el asesoramiento de la empresa instaladora. La defensa jurídica que ofrecemos en este ámbito queda condicionada al cumplimiento fehaciente de los extremos indicados anteriormente.
XV. Adecuación de sitio web sin comercio electrónico a la LSSICE
Incluye, exclusivamente, la redacción y puesta a disposición del CLIENTE del Aviso Legal y Política de Privacidad de UN sitio web del CLIENTE para que cumpla la LSSICE.
No incluye la maquetación de los textos en la web del CLIENTE ni ninguna intervención de tipo técnico que pudiera ser necesaria para dar cumplimiento a la normativa.
Se incluye la adecuación de UN sitio web. Si el CLIENTE dispone de más sitios web, la adecuación del segundo sitio y siguientes se realizará bajo presupuesto, que deberá ser aceptado previamente por el CLIENTE.
Este servicio es suficiente siempre que en el sitio web:
• NO se realice comercio electrónico (esto es, la venta o contratación directamente a través de su sitio web) y,
• NO se instalen cookies de análisis o medición, cookies de publicidad comportamental, o cualquier otro tipo de dispositivo de almacenamiento y recuperación de datos de los terminarles de los destinatarios, con esas u otras finalidades sujetas a la obtención del consentimiento del interesado.
Cuando el CLIENTE realice cambios en la web que afecten, o puedan afectar, al Aviso Legal o a la Política de Privacidad, debe notificar a GRUPO CFI esta circunstancia para que GRUPO CFI realice una nueva auditoría de la web y compruebe su correcto cumplimiento. En caso de que el CLIENTE no notifique dichos cambios a GRUPO CFI, el CLIENTE será responsable de los posibles incumplimientos que se puedan originar a consecuencia de dichas acciones.
XVI. Adecuación de sitio web con comercio electrónico a la LSSICE
Incluye, exclusivamente, la redacción y puesta a disposición del CLIENTE del Aviso Legal, Política de Privacidad y Condiciones Generales para la venta de productos y/o servicios en línea, de UN sitio web del CLIENTE para que cumpla la LSSICE y la LGDCU.
No incluye la maquetación de los textos en la web del CLIENTE ni ninguna intervención de tipo técnico que pudiera ser necesaria para dar cumplimiento a la normativa.
Se incluye la adecuación de UN sitio web. Si el CLIENTE dispone de más sitios web, la adecuación del segundo sitio y siguientes se realizará bajo presupuesto, que deberá ser aceptado previamente por el CLIENTE.
Este servicio es suficiente siempre que en el sitio web:
• NO se instalen cookies de análisis o medición, cookies de publicidad comportamental, o cualquier otro tipo de dispositivo de almacenamiento y recuperación de datos de los terminarles de los destinatarios, con esas u otras finalidades sujetas a la obtención del consentimiento del interesado.
Cuando el CLIENTE realice cambios en la web que afecten, o puedan afectar, al Aviso Legal, a la Política de Privacidad o a las Condiciones Generales o debe notificar a GRUPO CFI esa circunstancia para que GRUPO CFI realice una nueva auditoría de la web y compruebe su correcto cumplimiento. En caso de que el CLIENTE no notifique dichos cambios a GRUPO CFI, el CLIENTE será responsable de los posibles incumplimientos que se puedan originar a consecuencia de dichas acciones
XVII. Regulación de sitio web con cookies afectadas por la normativa
Incluye, exclusivamente, la redacción y puesta a disposición del CLIENTE del texto xxx Xxxxxx informativo y la Política de Cookies junto con las instrucciones de implantación de UN sitio web del CLIENTE para que cumpla la LSSICE y directrices de las Autoridades de Control de Protección de Datos referentes a la normativa de cookies.
No incluye la maquetación de los textos en la web del CLIENTE ni ninguna intervención de tipo técnico que pudiera ser necesaria para dar cumplimiento a la normativa.
Se incluye la adecuación de UN sitio web. Si el CLIENTE dispone de más sitios web, la adecuación del segundo sitio y siguientes se realizará bajo presupuesto, que deberá ser aceptado previamente por el CLIENTE.
Si el CLIENTE tiene publicado el sitio web: se realizará una auditoría previa para determinar los tipos de cookies usadas, se redactarán los textos informativos e instrucciones de implantación que serán enviados al CLIENTE.
Si el CLIENTE no tiene publicado el sitio web: se enviará al CLIENTE un formulario en el que deberá indicar qué cookies va a implementar en su sitio web cuando lo publique, se redactarán los textos informativos e instrucciones de implantación que serán enviados al CLIENTE.
Una vez implantados los textos, a petición del CLIENTE, GRUPO CFI realizará una auditoría posterior a la implantación y emitirá un informe que será enviado al CLIENTE junto con las correcciones a realizar, en su caso.
Cuando el CLIENTE realice cambios en la web que afecten, o puedan afectar al cumplimiento de la normativa de Cookies, debe notificar a GRUPO CFI esa circunstancia para que GRUPO CFI realice una nueva auditoría de la web y compruebe su correcto cumplimiento. En caso de que el CLIENTE no notifique dichos cambios a GRUPO CFI, el CLIENTE será responsable de los posibles incumplimientos que se puedan originar a consecuencia de dichas acciones.
XVIII. Realización xx XXXX en uno de los tratamientos
Incluye la realización de la Evaluación de Impacto relativa a la Protección de Datos (EIPD) para uno de los tratamientos. La realización de más EIPD, en caso de ser necesarias, se realizará bajo presupuesto, que será previamente aceptado por el CLIENTE.
XIX. Adaptación presencial
Incluye la visita a las instalaciones del CLIENTE para la realización de la toma de los datos necesarios para elaborar toda la documentación requerida por la normativa de protección de datos personales. La adaptación presencial debe ser contratada de forma expresa por el CLIENTE, siendo la adaptación remota la modalidad de contratación por defecto.
Con independencia de la modalidad de contratación escogida por el CLIENTE (remota o presencial), las revisiones a las que se refiere la cláusula 08,B) del las Condiciones Generales se realizarán en formato remoto, a no ser que el CLIENTE solicite una nueva visita del Consultor en sus instalaciones, con aceptación previa de presupuesto por parte del CLIENTE.
XX. Nombramiento de GRUPO CFI como Delegado de Protección de Datos
Incluye el nombramiento de GRUPO CFI como Delegado de Protección de Datos del CLIENTE.
El detalle de las condiciones de este nombramiento, así como los servicios asociados al mismo, se encuentran en el ANEXO II.
ANEXO II: NOMBRAMIENTO DE GRUPO CFI COMO DPD DE LA ENTIDAD
I. Objeto del Anexo
El objeto del presente Anexo al Contrato principal, es la prestación por parte de GRUPO CFI, de los servicios propios cómo Delegado de Protección de Datos (DPD) del CLIENTE, con la finalidad de asesorar y supervisar el cumplimiento de la normativa de protección de datos en la entidad CLIENTE.
Los servicios indicados en este Anexo solo aplicarán si en las Condiciones Particulares está incluido el servicio de Nombramiento de GRUPO CFI como Delegado de Protección de Datos del CLIENTE.
II. Nombramiento de Delegado de Protección de Datos y duración del contrato
De conformidad con lo indicado en el RGPD y en la LOPDGDD, y a los efectos previstos en esta normativa, el CLIENTE designa a CONSTRUYENDO FUTURO INFORMÁTICO, S.L. (GRUPO CFI), con NIF B34222950, como DELEGADO DE PROTECCIÓN DE DATOS de la
entidad.
La duración de la designación y los servicios vinculados a la misma, está expresada en la cláusula 04 de las Condiciones Generales del Contrato y vinculada a la duración del mismo.
A tal efecto, el CLIENTE autoriza expresamente a GRUPO CFI para que realice las comunicaciones pertinentes a la Agencia Española de Protección de Datos (en adelante, AEPD) en relación a esta designación (alta, modificación y/o supresión de delegado de protección de datos), de forma que el registro de delegados de protección de datos de la AEPD se mantenga veraz.
También autoriza expresamente a GRUPO CFI para que realice las consultas que sean necesarias a la AEPD en relación a su rol y los servicios desempeñados para el CLIENTE.
III. Funciones del Delegado de Protección de Datos
Tal y como indica el art. 39 del RGPD y los art. 36 y 37 de la LOPDGDD, las funciones del DPD se indican a continuación:
a) informar y asesorar al responsable, o al encargado del tratamiento, y a las personas autorizadas para tratar los datos personales bajo su autoridad directa, en virtud del RGPD, la LOPDGDD y de otras disposiciones de protección de datos de la UE o de sus Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el RGPD, la LOPDGDD y en otras disposiciones de protección de datos de la UE o de sus Estados miembros, y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales;
c) supervisar la asignación de responsabilidades;
d) supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento;
e) supervisar las auditorías correspondientes;
f) ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativas a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD;
g) cooperar y actuar como interlocutor con la autoridad de control para las cuestiones relativas al tratamiento de datos personales, incluida la consulta previa a que se refiere el artículo 36 del RGPD.
El DPD desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
El DPD mantendrá el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión Europea y de España.
IV. Tareas específicas del Delegado de Protección de Datos
Las funciones genéricas del DPD, indicadas en el punto anterior, se concretan en tareas de asesoramiento y supervisión, entre otras, en las siguientes áreas:
a) Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
b) Identificación de las bases jurídicas de los tratamientos.
c) Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
d) Determinación de la existencia de normativa sectorial que pueda precisar condiciones de tratamiento específico distintas de las establecidas por la normativa general de protección de datos.
e) Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
f) Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
g) Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
h) Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
i) Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
j) Diseño e implantación de políticas de protección de datos.
k) Auditoría de protección de datos.
l) Establecimiento y gestión de los registros de actividades de tratamiento.
m) Análisis de riesgo de los tratamientos realizados.
n) Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
o) Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
p) Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
q) Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
r) Realización de evaluaciones de impacto sobre la protección de datos.
s) Relaciones con las autoridades de supervisión.
t) Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
u) Intervención en las reclamaciones que hayan presentado los interesados contra la entidad, según lo dispuesto en el art. 37 de la LOPDGDD.
V. Régimen en la prestación de los servicios
Tanto el CLIENTE como el DPD se comprometen a cumplir las previsiones contenidas en el RGPD, LOPDGDD y demás normativa española en relación con la materia de la protección de datos personales, así como las recomendaciones y circulares que al efecto establezca la Agencia Española de Protección de Datos y autoridades autonómicas sobre la figura del DPD y, en consecuencia:
El CLIENTE se compromete, siguiendo lo indicado en el art. 38 del RGPD y art. 36.3 y 4 de la LOPDGDD a:
a) Garantizar que el DPD participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales que afecten a la entidad. Cuando haya cuestiones relativas a protección de datos, el DPD deberá ser informado (y en su caso, consultado previamente aquellas cuestiones que se van a tratar) de las reuniones en las que se traten estos temas así como de sus conclusiones, a fin de que muestre su parecer. También debe ser consultado cuando se produzca una violación de datos u otro incidente de seguridad.
b) Respaldar al DPD en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de las mismas y el acceso a los datos personales y a las operaciones de tratamiento que se lleven a cabo en la empresa.
c) Garantizar que el DPD no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.
d) Permitir al DPD el acceso al más alto nivel jerárquico de la empresa, a efectos de que éste pueda rendir cuentas directamente a dicho nivel, debiendo designar de forma específica el cargo, persona u órgano ante el que deba rendir cuentas y deba comunicar sus decisiones o recomendaciones que afecten a toda la empresa. La persona de contacto designada por el cliente y que servirá de interlocutor entre el cliente y el DPD, será la indicada como representante del acuerdo principal, y la dirección de correo electrónico y el teléfono que constan en dicho acuerdo, como medio de contacto habitual. El cambio de interlocutor y medios de contacto debe ser comunicado al DPD por correo electrónico desde la cuenta indicada en el acuerdo principal.
e) Informar a los interesados de que podrán ponerse en contacto con el DPD por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del RGPD. A estos efectos, el CLIENTE usará los medios de contacto que GRUPO CFI pone a su disposición, para mantener los contactos pertinentes con la dirección y empleados de la empresa, así como con los interesados. A efectos de comunicación, el CLIENTE nombrará una persona de contacto, que será el interlocutor entre el DPD y el CLIENTE (en ausencia de esta comunicación, se entenderá que el interlocutor es el firmante del Contrato).
f) Atender y actuar con diligencia ante las comunicaciones documentadas de las vulneraciones relativas a la materia de protección de datos que hayan sido apreciadas por el DPD.
VI. Actuaciones programadas incluidas en el contrato
Para el correcto desempeño de las funciones de asesoramiento y supervisión, GRUPO CFI efectuará las siguientes actuaciones programadas:
a) Controles periódicos en la organización del CLIENTE para comprobar el cumplimiento de la normativa de protección de datos en la entidad: revisión de la idoneidad, eficacia y estado de las medidas de seguridad implantadas, revisión de procedimientos, incidencias ocurridas, activos involucrados en el tratamiento, etc. dichas actuaciones pueden ser presenciales o por videoconferencia, según estime el DPD.
b) Designación de pautas y acciones en base a los controles realizados. Se consignarán las medidas más urgentes en el momento de la revisión periódica, indicando al cliente las tareas a realizar para corregir las desviaciones detectadas.
c) Auditoría anual de la entidad, consistente en una revisión completa de la implantación y controles de personal, clausulados, consentimientos, contratos, implantación de medidas de seguridad y resto de elementos necesarios para verificar el cumplimiento de la normativa. Dicha auditoría se documentará con un informe completo que recogerá las actuaciones realizadas, las deficiencias encontradas y las observaciones y recomendaciones del auditor para el correcto cumplimiento de la normativa de protección de datos personales. Dicha auditoría puede ser presencial o remota, según estime el DPD.
VII. Actividades de soporte y asesoramiento
También está incluido en el Contrato, a demanda del CLIENTE, por teléfono, por correo electrónico o cualquier otro medio puesto a su disposición:
a) La resolución de dudas o cuestiones relativas a la normativa de protección de datos personales y garantía de los derechos digitales (exclusivamente normativa española).
b) El asesoramiento individualizado en la atención a los derechos de los interesados para casos particulares, hasta un máximo de dos al año.
c) El asesoramiento personalizado en la valoración de brechas de seguridad ocurridas, así como la notificación, en su caso, de las brechas de seguridad que lo requieran, hasta un máximo de un servicio por año (no incluye la elaboración del informe que, en su caso, pueda ser necesario y que se tarificará, en caso de realizarlo GRUPO CFI, según lo indicado en el punto siguiente).
VIII. Actuaciones que se tarificarán aparte
Las siguientes actuaciones se tarificarán aparte, según las tarifas vigentes en cada momento:
a) Asistencia presencial o telemática a reuniones, juntas de administración o cualquier otro requerimiento presencial adicional a las actuaciones programadas incluidas en el contrato que se detallan en el punto VI de este anexo.
b) El asesoramiento en la atención de los derechos de los interesados que excedan del límite marcado en el punto VII de este anexo.
c) La elaboración del informe requerido para la valoración, y en su caso, notificación a la AEPD, en caso de ocurrencia de una brecha de seguridad conforme se estipula en el punto VII de este anexo. La elaboración de dicho informe se realizará, previa aceptación del presupuesto por parte del CLIENTE.
d) La impartición de jornadas de formación, tanto presenciales como no presenciales.
e) La revisión o elaboración de contratos, cláusulas o cualquier otra documentación adicional a la incluida en el servicio principal contratado, como por ejemplo, políticas específicas, cláusulas legales, o condiciones particulares de uso para para aplicaciones móviles (APPs), aplicaciones en modo SaaS, comercio electrónico, Evaluaciones de Impacto relativas a la Protección de Datos adicionales, etc.
IX. Responsabilidad
La designación del DPD no afecta a la responsabilidad que corresponda al CLIENTE en virtud del RGPD. Tal y como indica el art. 70.2 de la LOPDGDD, al DPD no le será de aplicación el régimen sancionador regulado en el Título IX de la LOPDGDD. En caso de incumplimiento grave de sus obligaciones por parte del DPD, el CLIENTE estará facultado para resolver de forma inmediata el presente contrato.
GRUPO CFI se reserva el derecho a revocar su nombramiento y resolver este contrato en su totalidad o parcialmente, en aquellos casos en los que considere que no dispone de los medios para ejercer las funciones inherentes al cargo de DPD, que no se pongan a su disposición todos los medios expresados en detalle en este Anexo y en las Condiciones Generales del Contrato, así como la no consideración de las pautas indicadas por el DPD o la imprudencia manifiesta por parte del cliente, que pudieran derivar en el incumplimiento de la normativa objeto del presente acuerdo. GRUPO CFI comunicará dicha decisión junto con un informe motivado de la misma, con al menos un mes de antelación. Dicha resolución total o parcial del acuerdo no supondrá la devolución de cantidad alguna abonada en concepto de prestación de los servicios incluidos en el mismo.
X. Sumisión
Para cualquier discrepancia que pudiera surgir en la aplicación, ejecución o interpretación del presente anexo, las partes, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, se someten expresamente a la competencia y jurisdicción pactada en las Condiciones Generales del Contrato.
ANEXO III: ACCESO A DATOS POR CUENTA DE TERCEROS
El presente ANEXO, que vincula al CLIENTE (en adelante, el responsable del tratamiento) y a GRUPO CFI (en adelante, el encargado del tratamiento) regulará los derechos y obligaciones que deben cumplir ambas Partes siguiendo lo dispuesto en la normativa vigente de protección de datos personales.
Este ANEXO forma parte del Contrato de prestación de servicios subscrito entre el CLIENTE y GRUPO CFI y entrará en vigor una vez que se haya iniciado la prestación del servicio objeto del Contrato.
I. Objeto del encargo
Mediante las presentes cláusulas se habilita al encargado del tratamiento para tratar, por cuenta del responsable del tratamiento, los datos personales necesarios para prestar el/los servicio/s de: Servicios de consultoría, soporte legal, auditoría y, en su caso, Delegación de Protección de Datos para cumplimiento normativo en el ámbito de las normativas de protección de datos personales y los servicios de la sociedad de la información y el comercio electrónico, así como la formación en esos ámbitos, y la puesta a disposición del responsable del acceso a diversas plataformas de gestión de los servicios y documentos, en formato SaaS.
Los tratamientos a llevar a cabo dependen de las modalidad y totalidad de los servicios contratados con el responsable y que forman parte de las Condiciones Generales y Particulares de Contratación.
Concreción de las operaciones a realizar: recogida; registro; estructuración; conservación; consulta; comunicación por transmisión; interconexión; cotejo.
II. Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone a disposición del encargado del tratamiento la información que se describe a continuación:
a) Datos identificativos de clientes y usuarios.
b) Datos identificativos de proveedores y contactos.
c) Datos identificativos y detalles de empleo del personal, voluntarios y socios.
d) Datos identificativos y académicos de alumnos y personal, en su caso.
La puesta a disposición de la información indicada anteriormente puede realizarse, bien proporcionando al encargado la información indicada, bien habilitándole el acceso a la misma, o debido a que el responsable del tratamiento almacena dicha información en sistemas y/o instalaciones del encargado del tratamiento.
III. Duración
La duración del presente acuerdo está sujeta a la duración del contrato principal de servicios.
IV. Obligaciones del encargado del tratamiento
El encargado del tratamiento, y todo su personal se obliga a:
a) Utilizar los datos personales objeto del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos de acuerdo a las instrucciones del responsable del tratamiento.
Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembro, el encargado informará inmediatamente al responsable.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de cada responsable, que contenga:
1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, de las transferencias indicadas en el artículo 49, párrafo segundo del RGPD, la documentación de garantías adecuadas, teniendo en cuenta, especialmente, el posible alojamiento de datos en servicios de computación en la nube (servicios cloud).
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
i. La seudonimización y el cifrado de datos personales.
ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) No comunicar datos a terceras personas (incluidas las transferencias de datos personales a terceros países u organizaciones internacionales), salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. Para obtener la autorización del responsable del tratamiento para transferir datos personales a un tercer país o a una organización internacional, el encargado del tratamiento debe indicar los siguientes conceptos en la solicitud de autorización al responsable del tratamiento:
1. la entidad a la que se van a transferir los datos,
2. la finalidad de dicha transferencia,
3. la identificación de dicho tercer país u organización internacional,
4. la existencia o ausencia de una decisión de adecuación de la Comisión, o,
5. en el caso de las transferencias indicadas en los artículos 46, 47 o el artículo 49, apartado 1, párrafo segundo del RGPD, se debe hacer referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o acceso al texto y medios de formalización de estas garantías.
El encargado del tratamiento no podrá transferir los datos hasta que reciba conformidad expresa por parte del responsable del tratamiento. Si se produce alguna variación posterior de los datos indicados en la solicitud, el encargado debe obtener de nuevo la autorización del responsable del tratamiento cursando una nueva solicitud de autorización.
Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembro que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que el Derecho lo prohíba por razones importantes de interés público.
El encargado puede comunicar datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
e) Se autoriza al encargado a subcontratar con consultores y auditores externos las prestaciones que comporten los tratamientos siguientes: servicios de consultoría, soporte y auditoría. Para subcontratar con otras empresas, el encargado debe comunicarlo por escrito al responsable, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de 30 días. El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos personales a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
g) Garantizar que las personas autorizadas para tratar datos personales se comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1. Acceso, rectificación, supresión y oposición.
2. Limitación del tratamiento.
3. Portabilidad de los datos.
4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección indicada por el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
k) Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
l) Notificación de violaciones de la seguridad de los datos:
El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso, antes del plazo máximo de 72 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Esta comunicación se realizará de la siguiente forma: enviando un correo electrónico a la dirección que indique el responsable.
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. El nombre y datos de contacto del delegado de protección de datos o del otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
o) Xxxxx a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
p) Implantar las medidas de seguridad siguientes: Medidas de seguridad conforme a las declaraciones de aplicabilidad en vigor del Esquema Nacional de Seguridad en Categoría MEDIA y la Norma ISO/IEC 27001 con extensión ISO/IEC 27701.
En todo caso, deberá implantar mecanismos para:
1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
4. Seudonimizar y cifrar los datos personales, en su caso.
En particular, el encargado del tratamiento garantiza que los datos personales que integre en sus sistemas de tratamiento, por cuenta del responsable, sean albergados en servidores propios o subcontratados, los cuáles:
1. Son seguros, conforme a las exigencias detalladas anteriormente.
2. Están localizados en la Unión Europea (salvo que el responsable del tratamiento haya autorizado expresamente la transferencia de los datos a un tercer país o a una organización internacional, según se detalla en el apartado d) del punto IV de este contrato. En todo caso, la localización fuera de la Unión Europea debe respetar y cumplir estrictamente las condiciones previstas a este respecto en el presente contrato y en el RGPD).
q) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
r) Destino de los datos una vez finalice la prestación de los servicios:
Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
V. Obligaciones del responsable del tratamiento
Corresponde al responsable del tratamiento:
a) Xxxxxxxx, o permitir el acceso, al encargado los datos a los que se refiere la cláusula II de este documento.
b) En su caso, realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante el tratamiento, por el cumplimiento del RGPD por parte del encargado.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.