PLIEGO DE CONDICIONES GENERALES
PLIEGO DE CONDICIONES GENERALES
1.- OBJETO DEL CONTRATO
El objeto del contrato que se regirá por el presente Xxxxxx, será el que figura en el apartado “A” del cuadro de características.
2.- CONDICIONES GENERALES DEL CONTRATO
Este Pliego y sus Anexos, el Cuadro de Características, el Pliego de Condiciones Técnicas y Particulares y los proyectos o programas de trabajo que sea preciso presentar según las condiciones fijadas para la contratación de que se trate, revisten carácter contractual, por lo que la presentación de ofertas implicará la manifestación expresa del licitador de que acepta su contenido, debiendo ser firmados en prueba de conformidad por el adjudicatario en el acto mismo de la formalización del contrato.
3.- PRESUPUESTO DE LICITACIÓN
El Presupuesto de licitación para la adjudicación de la contratación, será el que figure expresado en el apartado “B” del Cuadro de Características.
4.- PLAZO DE EJECUCIÓN
Será el previsto en el Pliego de Condiciones Técnicas y Particulares, así como en el apartado “E” del Cuadro de Características.
Cuando se produzcan retrasos por motivos no imputables al adjudicatario y éste se ofrezca a cumplir sus compromisos si se le prorroga el plazo fijado para la ejecución del contrato, se podrá conceder un plazo que será, por lo menos, igual al tiempo perdido a no ser que el adjudicatario solicitara otro menor.
Podrá modificarse el plazo de ejecución si en las circunstancias previstas en los documentos que sirvan de base para la contratación, fuera preciso modificar el contrato. En este caso, el órgano competente incluirá en la aprobación de dichas modificaciones la ampliación de plazo correspondiente a su ejecución, que será proporcional al porcentaje de incremento que supongan. También se considerará la
ampliación de plazo necesaria para absorber los retrasos que hubiera ocasionado la tramitación del expediente.
La petición de prórroga por parte del contratista deberá tener lugar en el plazo máximo de un mes contado desde el día en que se produzca la causa que origina el retraso y siempre antes de la terminación del contrato, entendiéndose que renuncia a su derecho cuando no se solicite dentro del plazo citado.
5.- REVISIÓN DE PRECIOS
La revisión del precio por el que se adjudique el contrato, sólo podrá tener lugar, en su caso, cuando se haya ejecutado el 20% de su importe y haya transcurrido un año desde su adjudicación, sin que el 20% del precio de adjudicación pueda ser objeto de revisión, ni ésta puede tener lugar durante el primer año desde la adjudicación.
Cuando la cláusula de revisión se aplique sobre períodos de tiempo en los que el contratista hubiera incurrido en xxxx y sin perjuicio de las penalizaciones que procedan, los índices de precios que se tendrán en cuenta serán aquellos que hubiesen correspondido a la fecha establecida en el contrato para la realización de la prestación objeto del mismo en plazo, salvo que los correspondientes al período real de ejecución produzcan un coeficiente inferior, en cuyo caso se aplicarán estos últimos.
6.- APTITUD PARA CONTRATAR CON LA SOCIEDAD ESTATAL CORREOS Y TELÉGRAFOS, S.A., S.M.E.,
Sólo podrán contratar con la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E., las personas naturales o jurídicas, españolas o extranjeras, que tengan plena capacidad de obrar, no estén incursas en una prohibición de contratar, y acrediten su solvencia económica, financiera y técnica o profesional conforme a lo previsto en la Subsección 4ª de la Sección 1ª del Capítulo II del Título II del Texto refundido de la Ley de Contratos del Sector Público [ en adelante, TRLCSP] aprobado mediante Real Decreto Legislativo 3/2011, de 14 de noviembre , salvo en aquellos preceptos que sólo resulten de aplicación a las Administraciones Públicas.
Si la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. tuviese conocimiento de que el adjudicatario no reúne las condiciones exigidas con posterioridad a la celebración del contrato, podrá resolverlo dejándolo sin efecto, con derecho a exigir del contratista el resarcimiento de los daños y perjuicios que haya podido causar.
6.1.- Capacidad
Los licitadores deberán acreditar su personalidad jurídica y capacidad de obrar. Cuando fueran personas jurídicas deberán justificar que el objeto social de la entidad comprende el desarrollo de todas las actividades que constituyen el objeto del contrato al que concurren. La acreditación se realizará mediante la presentación de los estatutos sociales inscritos en el Registro Mercantil o en aquel otro registro oficial que corresponda en función del tipo de entidad social.
6.2.- Prohibiciones de contratar
Los licitadores no deberán estar incursos en ninguna de las causas de prohibición de contratar establecidas en el artículo 60.1 de la TRLCSP en la fecha de conclusión del plazo de presentación de ofertas, ni cuando se proceda a la adjudicación. Para acreditar estas circunstancias se estará a lo previsto en el artículo 73 de la TRLCSP; cuando a estos efectos se aporte declaración responsable, ésta se ajustará al modelo que se incorpora como Anexo 3 de este Pliego.
6.3.- Solvencia económica y financiera
Salvo que el Pliego de Condiciones Técnicas y Particulares diga otra cosa, la solvencia económica y financiera del empresario podrá acreditarse por cualquiera de los medios previstos en el artículo 75 de la TRLCSP.
6.4.- Solvencia técnica o profesional
Salvo que el Pliego de Condiciones Técnicas y Particulares diga otra cosa, la solvencia técnica o profesional podrá acreditarse por cualquiera de los medios previstos en los artículos 76, 77 y 78 de la TRLCSP, para los contrataos de obras, suministros y servicios, respectivamente.
6.5.- Obligaciones del adjudicatario en materia de protección de datos.
La empresa que resulte adjudicataria del contrato, actuará en calidad de Encargado del Tratamiento y se compromete a firmar un Contrato de Encargo del Tratamiento debiendo ajustarse al modelo que se incorpora como anexo IV de este pliego, cumpliendo con las exigencias previstas en la normativa de protección de datos vigente y, especialmente, los siguientes aspectos:
Realizar el tratamiento de los datos personales ajustándose a las instrucciones que, en cada momento, le indique Correos, así como a lo dispuesto en la normativa que le resulte aplicable en materia de protección de datos personales.
No realizar ningún otro tratamiento sobre los datos personales, ni a aplicar o utilizar los datos con una finalidad distinta a la prestación del Servicio al que se hace referencia en el Pliego de Condiciones, ni a utilizarlos con fines propios.
Adoptar todas aquellas medidas técnicas y organizativas que Correos considere que resultan necesarias para garantizar un nivel de seguridad adecuado.
Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Mantener secreto y confidencialidad respecto de los datos personales a los que acceda y garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que les informará convenientemente.
Mantener un registro, por escrito, de todas las actividades de tratamiento efectuadas por cuenta de Correos.
Guardar bajo su control y custodia los datos personales suministrados por Correos a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a otras personas.
No subcontratar ninguna de las prestaciones que formen parte del objeto de este Pliego que comporten el tratamiento de datos personales o realizar Transferencias Internacionales de Datos, salvo previa autorización expresa y otorgada por escrito por parte de Correos.
Dar apoyo a Correos en la realización de las evaluaciones de impacto relativas a la protección de datos y la realización de consultas previas a la autoridad de control, cuando proceda.
A elección de Correos, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos en virtud del Derecho de la Unión o de los Estados Miembros.
Poner a disposición de Correos toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir y colaborar activamente en la realización de las auditorías o las inspecciones que realice Correos u otro auditor autorizado por él.
Designar cuando proceda un delegado de protección de datos y comunicar su identidad y datos de contacto a Correos.
El adjudicatario vendrá obligado a exonerar a la Sociedad Estatal Correos y Telégrafos S.A., S.M.E. de cualquier tipo de responsabilidad frente a terceros, por reclamaciones de cualquier índole que tengan origen en el incumplimiento de las obligaciones de protección de datos de carácter personal que le incumben en su condición de encargado del tratamiento, y responderá frente a la indicada Sociedad del resultado de dichas acciones. El adjudicatario vendrá
también obligado a prestar su plena ayuda en el ejercicio de las acciones que correspondan a la Sociedad Estatal Correos y Telégrafos S.A., S.M.E.
7.- COMPROMISO LICITADORES/ADJUDICTARIOS/SUBCONTRATISTAS
Teniendo en consideración los principios del Pacto Mundial de las Naciones Unidas, asumidos por la Sociedad Estatal Correos y Telégrafos S. A., los interesados en participar en sus procedimientos de contratación deberán garantizar la observancia de los compromisos que a continuación se indican. La presentación de ofertas implicará manifestación expresa de la aceptación de dichos compromisos.
La firma del presente documento por parte del adjudicatario en el mismo acto de formalización del contrato, implicará la conformidad con el contenido de los mismos y el compromiso de su cumplimiento:
1.- Se respetarán los derechos humanos reconocidos internacionalmente.
2.- No se utilizará mano de obra forzada, o bajo coacción, ni prácticas discriminatorias
3.- No utilizará mano de obra infantil
4.- Los salarios y horas de trabajo deberán cumplir, como mínimo, las leyes, reglas y normas aplicables del país de que se trate, incluyendo salario mínimo, horas extraordinarias y horas máximas de trabajo
5.- Se respetará el derecho que tienen los empleados de asociarse libremente y de negociación colectiva
6.- Se proporcionará a los empleados buenas condiciones de seguridad e higiene laboral
7.- Las actividades se desarrollarán respetando el medio ambiente y observándose la legislación aplicable del país
8.- Todos los productos y servicios se suministrarán de forma que cumplan los criterios de calidad y seguridad suficientes, y serán seguros para el fin previsto
9.- Para el suministro de bienes y servicios a la Sociedad Estatal Correos y Telégrafos S.A., S.M.E. no podrán utilizarse medios fraudulentos, ni pago de sobornos.
10-. Se garantizará por el adjudicatario que sus respectivos proveedores y subcontratistas cumplirán a su vez con las obligaciones mencionadas en los apartados anteriores.
8.- PRESENTACIÓN DE OFERTAS
Los licitadores que deseen participar en un procedimiento de contratación convocado por la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. deberán presentar sus ofertas en el lugar que se indique en el anuncio de contratación o, en su caso, en la comunicación de la misma.
La presentación de la documentación a que se refiere el párrafo anterior se realizará dentro del plazo de admisión de ofertas fijado en el anuncio de contratación o en la comunicación por la que se convoque a la misma, y en horas de oficina, pudiendo optar por su remisión por correo.
Cuando se opte por la remisión por correo, el oferente deberá justificar la fecha y hora de imposición del envío en la Oficina de Correos y Telégrafos y anunciar a la Unidad Central de Contratación la remisión de la oferta por medio de fax, telegrama o burofax dirigido al Registro General de la sede social de Correos, antes de la finalización del plazo de presentación de ofertas. No se admitirán las ofertas enviadas por correo que no hayan sido impuestas en la Oficina de Correos y Telégrafos antes del vencimiento del plazo establecido para su presentación.
Cada licitador no podrá presentar más de una oferta, salvo que el Pliego de Condiciones Técnicas y Particulares prevea la posibilidad de presentar variantes o mejoras.
Tampoco podrá suscribir ninguna propuesta en Unión Temporal con otros si lo ha hecho individualmente o figurar en más de una Unión Temporal. La vulneración de esta regla producirá la exclusión de todas las ofertas en las que intervenga.
9.- CONTENIDO DE LAS OFERTAS
Las ofertas se presentarán en tres (3) sobres cerrados en los que conste claramente el nombre o denominación del licitador, su firma o la de la persona que acredite su representación, así como sus datos de contacto y una relación detallada de la documentación que contenga cada uno de los sobres. Dichos sobres deberán, a su vez, cumplir los siguientes requisitos:
9.1.- SOBRE NÚMERO 1:
TÍTULO DEL ANVERSO DEL SOBRE: “Documentación Técnica”. Se hará constar el objeto de la contratación y el nombre del licitador.
CONTENIDO: Exclusivamente contendrá la documentación de carácter técnico exigida en el Pliego de Condiciones Técnicas y Particulares, sin ninguna referencia a los aspectos económicos.
Toda la documentación técnica exigida deberá ser presentada en castellano
9.2.- SOBRE NÚMERO 2:
TÍTULO DEL ANVERSO DEL SOBRE: “Documentación general”. Se hará constar el objeto de la contratación y el nombre del licitador.
CONTENIDO: Toda la documentación se presentará mediante originales, fotocopias autenticadas o testimonio notarial de la misma, que en caso de no estar en castellano, deberán traducirse oficialmente al mismo.
9.2.1.- Acreditación de la personalidad:
1) Los empresarios individuales y los que comparezcan o firmen ofertas en nombre de otro, deberán presentar Documento Nacional de Identidad o, en su caso, el documento que haga sus veces.
2) Si el licitador es persona jurídica, deberá aportar la escritura o documento de constitución, los estatutos o el acto fundacional, en los que consten las normas por las que se regula su actividad, debidamente inscritos, en su caso, en el Registro público que corresponda, según el tipo de persona jurídica de que se trate.
3) Las empresas no españolas de Estados miembros de la Comunidad Europea o de los Estados signatarios del Acuerdo sobre el Espacio Económico Europeo, deberán acreditar su inscripción en el registro procedente de acuerdo con la legislación del Estado donde están establecidos, o mediante la presentación de una declaración jurada o un certificado, en los términos que se establezcan reglamentariamente, de acuerdo con las disposiciones comunitarias de aplicación.
4) Las demás empresas extranjeras acreditarán su capacidad de obrar mediante informe expedido por la Misión Diplomática Permanente de España en el Estado correspondiente o de la Oficina Consular en cuyo ámbito territorial radique el domicilio de la empresa, en el que se haga constar que figura inscrita en el Registro local profesional, comercial o análogo, o en su defecto, que actúan habitualmente en el ámbito de las actividades a las que se refiere el objeto de contratación.
5) Las empresas extranjeras no comunitarias deberán acompañar un informe de la Misión Diplomática Permanente de España u organismo competente, sobre:
- La condición de Estado signatario del Acuerdo sobre contratación pública de la Organización Mundial de Comercio o,
- Que el Estado de procedencia de la empresa extranjera admite a su vez la participación de empresas españolas en la contratación con la Administración y con los entes, organismos o entidades del sector público asimilables a los enumerados en el artículo 3 del TRLCSP, en forma sustancialmente análoga.
9.2.2.- Cuando el licitador no actúe en nombre propio o se trate de sociedad o persona jurídica, deberá presentar apoderamiento bastante para representar a la persona o entidad en cuyo nombre se concurra ante la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E., inscrito en el Registro Mercantil.
9.2.3.- Documentación acreditativa de cumplir los requisitos de solvencia económica, financiera y técnica o profesional que exija el Pliego de Condiciones Técnicas y Particulares.
9.2.4.- En el caso de uniones de empresarios constituidas temporalmente al efecto, se incluirá un escrito indicando los nombres y circunstancias de los empresarios que suscriben la unión, la participación de cada uno de ellos y el nombramiento o designación de representante o apoderado único de la unión con poderes bastantes para ejercitar los derechos y cumplir las obligaciones que se deriven del contrato hasta su extinción.
Cada uno de los empresarios que componen la unión deberá acreditar su capacidad de obrar con los documentos que se detallan en los números anteriores.
Las personas físicas o jurídicas de Estados no pertenecientes a la Comunidad Europea, además de acreditar su plena capacidad para contratar y obligarse conforme a la legislación de su Estado y su solvencia económica y financiera, técnica o profesional, deberán justificar que tienen abierta sucursal en España, con designación de apoderados o representantes para sus operaciones y que están inscritas en el Registro Mercantil.
9.2.5.- Declaración responsable de no estar incurso en prohibición de contratar. Esta declaración deberá incluir la manifestación de hallarse al corriente del cumplimiento de las obligaciones tributarias y con la Seguridad Social, sin perjuicio de la justificación acreditativa de tales requisitos antes de la formalización del contrato conforme a lo previsto en el apartado 11 a) del presente Xxxxxx.
Las empresas extranjeras, en los casos en que el contrato vaya a ejecutarse en España, deberán presentar declaración de someterse a la jurisdicción de los juzgados y tribunales españoles de cualquier orden, para todas las incidencias que de modo directo o indirecto pudieran surgir del contrato, con renuncia, en su caso, al fuero jurisdiccional extranjero que pudiera corresponder al licitante.
9.3.- SOBRE NÚMERO 3:
TÍTULO DEL ANVERSO DEL SOBRE: “Oferta Económica”. Se hará constar el objeto de la contratación y el nombre del licitador.
CONTENIDO: Oferta ajustada al modelo determinado en el Anexo 1 de este Pliego y al modelo que, en su caso, incorpore el Pliego de Condiciones Técnicas y Particulares.
Tanto en las ofertas que formulen los empresarios como en el presupuesto de licitación, se entenderán comprendidos a todos los efectos los gastos generales y el beneficio industrial, así como los importes de los tributos de toda índole que graven las prestaciones objeto del contrato, excluido el impuesto sobre el Valor Añadido (IVA) o cualquier otro impuesto indirecto equivalente, según corresponda, y que deberán ser identificados y posteriormente repercutidos como partidas independientes.
Cada licitador no podrá presentar más de una oferta, suscribir ninguna propuesta en Unión Temporal de Empresa (UTE) con otras si lo ha hecho individualmente, o figurar en más de una UTE. La vulneración de esta regla producirá la exclusión de todas las ofertas en las que intervenga.
No se aceptarán aquellas ofertas que tengan omisiones, errores o tachaduras que impidan conocer claramente lo que Correos estime fundamental para considerar la oferta.
Salvo que el Pliego de Condiciones Técnicas y Particulares establezca otra cosa, no se admitirán variantes o alternativas en la oferta, aunque podrán presentarse en el proceso de negociación si así lo admite posteriormente la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E.
10.- ADJUDICACIÓN
La adjudicación se realizará de acuerdo con los criterios que se determinen en el Pliego de Condiciones Técnicas y particulares y conforme a lo indicado en el apartado “H” del Cuadro de Características, pudiendo declarar desierta la contratación si ninguna de las ofertas fuera aceptable.
En el supuesto de que el adjudicatario incumpliera las condiciones previstas en el presente Xxxxxx previas a la firma del contrato, o no suscribiera el mismo, o cuando habiéndolo suscrito, su ejecución no se iniciara en los términos en que fue adjudicado, el órgano de adjudicación adoptará la decisión que corresponda, pudiendo, en todo caso, adjudicar la contratación a otro licitador dentro del mismo procedimiento.
Antes de la adjudicación, Correos podrá requerir la presentación de documentación complementaria, aclaración o modificaciones de las ofertas que considere oportunas para el mayor acierto en la adjudicación.
11.- DOCUMENTACIÓN EXIGIBLE AL ADJUDICATARIO
Para la formalización del contrato el adjudicatario deberá aportar los documentos que se relacionan a continuación:
a) Documentación justificativa de hallarse al corriente en el cumplimiento de sus obligaciones tributarias y con la Seguridad Social.
Se entenderá que las empresas están al corriente en el cumplimiento de sus obligaciones tributarias y de Seguridad Social mediante la acreditación de las circunstancias previstas en los artículos 13 y 14 respectivamente, del Real Decreto 1098/2001, de 12 de octubre, por el que se aprueba el Reglamento general de la Ley de Contratos de las Administraciones Públicas, o norma que lo sustituya.
Las circunstancias mencionadas en el párrafo anterior se acreditarán mediante certificación administrativa expedida por el órgano competente, excepto para la
acreditación de estar al corriente en el impuesto de Actividades Económicas, cuya acreditación se efectuará mediante la presentación del alta y, en su caso, del último recibo del Impuesto sobre Actividades Económicas, completado con una declaración responsable de no haberse dado de baja en la matricula del citado Impuesto. Las citadas certificaciones tendrán una validez, a efectos de participar en procesos de licitación, de seis (6) meses a contar desde la fecha de expedición.
Cuando la empresa no esté obligada a presentar las declaraciones o documentos a que se refiere el párrafo segundo de este apartado, se acreditará esta circunstancia mediante declaración responsable.
b) El adjudicatario, antes de la formalización del contrato, deberá presentar los justificantes de la fianza exigida en el apartado “D” del Cuadro de Características, así como del abono de los gastos del anuncio o anuncios de licitación.
c) En el supuesto de que la licitación sea adjudicada a una Unión Temporal de Empresas (UTE), deberá acreditarse la constitución de la misma ante la Unidad de Contratación mediante escritura.
d) En todo caso, la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. podrá exigir que se acrediten documentalmente la propiedad de la maquinaria y medios auxiliares que la empresa haya declarado tener a disposición, así como cualquier otra documentación complementaria que considere conveniente.
12.- FIANZA
El adjudicatario viene obligado a constituir y acreditar una fianza, previa a la formalización del contrato, en la cuantía que se indique en el apartado “D” del Cuadro de Características, en el plazo xx xxxx (10) días desde que se le notifique la adjudicación.
La fianza podrá constituirse en metálico o mediante aval prestado por alguno de los bancos, cajas de ahorros, cooperativas de crédito, establecimientos financieros de créditos y sociedades de garantía recíproca autorizados para operar en España.
El contenido del aval se ajustará al modelo que figura en Anexo 2 al presente Xxxxxx.
El importe de la fianza se destinará al resarcimiento de los daños y perjuicios que por cualquier causa pudiera incurrir en la ejecución del contrato o durante el período de vigencia de la garantía fijada en el apartado “F” del Cuadro de Características, y en su caso, para satisfacción de las penas pecuniarias que se hayan estipulado.
Salvo que el Pliego de Condiciones Técnicas y Particulares o cualquier otro documento de carácter contractual, estipulen lo contrario, el pago de las penas pecuniarias no sustituirá el resarcimiento de daños y perjuicios por ncumplimiento del contratista, ni eximirá de cumplir con las obligaciones contractuales, pudiendo exigirse, conjuntamente, el cumplimiento de dichas obligaciones y la satisfacción de las penas pecuniarias estipuladas.
Cuando a consecuencia de la modificación del contrato experimente variación el valor total del mismo, se ajustará la fianza constituida en la cuantía necesaria para que se mantenga la debida proporcionalidad entre la fianza y el presupuesto del contrato.
Dentro del plazo de tres meses a partir de la finalización del contrato, o del plazo de garantía fijado en el apartado “F” del Cuadro de Características, se procederá a la devolución del importe de la fianza o, en su caso, a la cancelación del aval ejecutable.
13.- FORMALIZACIÓN
El adjudicatario queda obligado a suscribir el contrato en el plazo que se fije en el Pliego de Condiciones Técnicas y Particulares y, en su defecto, en el plazo de un mes desde que se le notifique la adjudicación. Transcurrido dicho plazo sin que se hubiera formalizado el documento contractual por causa imputable al adjudicatario, el órgano competente podrá aprobar la adjudicación al licitador que hubiere presentado la segunda mejor oferta, previa notificación de dicha circunstancia al contratista que hubiere incumplido, sin perjuicio del derecho de la Sociedad a ser indemnizada en los daños sufridos.
El contrato podrá formalizarse en escritura pública cuando así lo solicite cualquiera de las partes, siendo a cargo de la que lo solicite los gastos derivados de su otorgamiento.
14.- EXTINCIÓN DEL CONTRATO
El contrato se extinguirá por conclusión o cumplimiento, o bien por resolución. Son causas de resolución:
A. El incumplimiento de las cláusulas contenidas en los Pliegos por los que se rige la contratación, sus Anexos, el contrato o cualquier otra documentación que revista carácter contractual.
B. La muerte del contratista individual, salvo que los herederos ofrezcan llevar a cabo el contrato bajo las condiciones estipuladas en el mismo. No obstante, la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. podrá aceptar o desechar el ofrecimiento, sin que en este último caso tengan derecho los herederos a indemnización alguna por el resto del contrato dejado de ejecutar.
C. La extinción de la personalidad jurídica de la sociedad mercantil del contratista, salvo que el patrimonio y organización de la sociedad extinguida sea incorporado a otra entidad, asumiendo ésta última las obligaciones de aquélla y siempre que la nueva entidad, en el plazo de un mes, ofrezca llevar a cabo el contrato en las condiciones estipuladas. La Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. puede admitir o desechar el ofrecimiento, sin que en éste último caso, haya derecho a indemnización alguna.
D. El mutuo acuerdo entre la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. y el contratista.
X. Xx cesión a terceros del contrato sin autorización de la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E.
F. Cualquier otra causa que se establezca expresamente en el Pliego de Condiciones Técnicas y Particulares o en el contrato.
Cuando la resolución del contrato sea por causas imputables al contratista, la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. ejecutará, si así procediese y a su sola discreción, la fianza constituida haciendo suyo su importe.
15.- PRÓRROGA DEL CONTRATO
Una vez finalizado el plazo de vigencia del contrato, el contratista quedará obligado, cuando así se requiera por la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E., a prestar el servicio durante un período máximo de tres meses.
16.- RÉGIMEN JURÍDICO DEL CONTRATO
Los contratos suscritos por la Sociedad Estatal Correos y Telégrafos, S.A., S.M.E. y comprendidos en el ámbito de aplicación del presente Xxxxxx, se regirán por sus propias estipulaciones y, en lo no expresamente pactado en los mismos, en cuanto no las contradigan y les sea de aplicación, por las condiciones, prescripciones y previsiones contenidas en la documentación complementaria e integradora de dichos contratos, según enumeración y orden de prelación que a continuación se establece:
1.- Pliego de Condiciones Técnicas y Particulares y Cuadro de Características 2.- Pliego de Condiciones Generales
3.- Los demás documentos que tengan carácter contractual según las condiciones que regulan la contratación
4.- El ordenamiento jurídico privado
17.- RESOLUCIÓN DE CONFLICTOS
Las cuestiones litigiosas que puedan surgir sobre interpretación o modificación del contrato, serán resueltas por los Juzgados y Tribunales del lugar de celebración del mismo, a cuya jurisdicción se someterán las partes, renunciando expresamente a cualquier otro fuero que les pudiera corresponder.
18.- ANEXOS
Los Anexos 1, 2, 3 y 4 forman parte integrante del presente Xxxxxx y revisten por tanto carácter contractual.
ANEXO 1
MODELO DE OFERTA ECONÓMICA
- Don / Doña ...................................................................................
- Con domicilio en: .........................................................................
- Calle / Plaza, nº: .........................................................................
En caso de actuar en representación
- Como apoderado / a de: ..............................................................
- Con domicilio en: .........................................................................
- Calle / Plaza, nº: ..........................................................................
Enterado de las condiciones y requisitos para concurrir al Procedimiento convocado por la Sociedad Estatal Correos y Telégrafos S.A., S.M.E., para adjudicar la contratación de................................................................................................................., cree que se
encuentra en situación de acudir como licitador del mismo.
A este efecto hace constar que conoce los Xxxxxxx que sirven de base a la convocatoria, que acepta incondicionalmente sus cláusulas, que reúne todas y cada una de las condiciones exigidas para contratar y que se compromete en nombre (propio o de la empresa a la que representa) a realizar el objeto del contrato con estricta sujeción a los expresados requisitos y condiciones de acuerdo con la siguiente oferta:
Precio Base (en cifras) .....................................€ (sin IVA o cualquier otro impuesto indirecto equivalente)
Precio Base (en letras) ...........................................................................................
...................................................................... Euros (sin IVA o cualquier otro impuesto indirecto equivalente)
Tipo Impositivo, IVA (o impuesto indirecto equivalente): %
Precio (en cifras) ............................................./€ (con IVA o cualquier otro impuesto indirecto equivalente)
Precio (en letras): ....................................................................................................
................................................................. Euros (con IVA o cualquier otro impuesto indirecto equivalente)
Fecha y firma del licitador
ANEXO 2
LA ENTIDAD .............................................................................................................
...................................................................................................................................
AVALA
Solidariamente a la empresa con
domicilio social en ............................................................. NIF ...............................
Ante la SOCIEDAD ESTATAL CORREOS Y TELEGRAFOS S.A., S.M.E. con renuncia
a cualquier Beneficio y en especial al de orden, previa excusión y división de bienes, por la cantidad de ......................................................EUROS (
............................................ €), para responder de todas y cada una de las obligaciones y eventuales responsabilidades de toda índole que se deriven del cumplimiento del contrato de ...................................................................................
........................................ número de expediente .....................................................
El presente aval será ejecutable por la Sociedad Estatal Correos y Telégrafos, Sociedad Anónima, a PRIMERA DEMANDA O PETICIÓN, bastando para ello el simple requerimiento notarial a la entidad avalista dándole cuenta del incumplimiento contractual en que haya incurrido la empresa avalada.
El suscriptor del aval se encuentra especialmente facultado para su formalización según poderes otorgados ante el notario D. .............................................................
................................................... el día ........................... al número de su protocolo y
que no le han sido revocados ni restringidos o modificados en forma alguna.
Este aval, que ha sido inscrito con esta misma fecha en el Registro Especial de Avales con el número ........................... , estará en vigor hasta tanto no se hayan extinguido y liquidado todas y cada una de las obligaciones contraídas por la empresa avalada y la sociedad estatal Correos y Telégrafos, Sociedad Anónima autorice, su cancelación.
En Madrid, a ................ de ...................................... de ........
Fdo.: LA ENTIDAD AVALISTA
ANEXO 3
DECLARACIÓN RESPONSABLE
D/Xx…………………………………………………., con D.N.I……………., actuando en nombre propio (o en representación de……………………………. con C.I.F………………….., con domicilio social en……………………, en calidad de interesado/a en el procedimiento de adjudicación convocado por la Sociedad Estatal Correos y Telégrafos S.A., S.M.E., relativo a la contratación de………………………, Expediente ……………….
Por la presente DECLARO RESPONSABLEMENTE, a los efectos previstos en el artículo 146. 1 c) del Texto refundido de la Ley de Contratos del Sector Público (en adelante TRLCSP) aprobado mediante Real Decreto Legislativo 3/2011 de 14 de noviembre.
● No incurrir yo/mi representada en causa de prohibición para contratar con el sector público conforme a lo previsto en el artículo 60.1 del TRLCSP.
● Hallarme/hallarse al corriente del cumplimiento de las obligaciones tributarias y con la Seguridad Social impuestas por las disposiciones vigentes, sin perjuicio de comprometerme a aportar la justificación acreditativa de tal requisito antes de la formalización del contrato conforme a lo previsto en el Pliego de Condiciones Generales por el que se rige la contratación, de resultar yo/mi representada adjudicatario/a.
En , a de de
Fdo.:
ANEXO 4
CONTRATO DE ENCARGO DE TRATAMIENTO
En , a de de 20 .
REUNIDOS
DE UNA PARTE,
La mercantil Sociedad Estatal Correos y Telégrafos, S.A., S.M.E con NIF A-83052407 y domicilio social en Vía Dublín nº 7 (Campo de las Naciones) 00000 Xxxxxx (Xxxxxx), (en lo sucesivo, el “RESPONSABLE DEL TRATAMIENTO” o “CORREOS”), sociedad inscrita en el Registro Mercantil de Madrid al tomo [-], folio [-], sección [-], hoja [-], inscripción [-]; representada en este acto por [-], de nacionalidad española, mayor de edad y con N.I.F. [-], en virtud de la escritura de poder otorgada ante el Xxxxxxx xxx [-], el [-], bajo el número [-] de su protocolo.
Y DE OTRA,
La mercantil [Denominación social del adjudicatario] con NIF [-] y domicilio social en [-
], (en lo sucesivo, el “ENCARGADO DEL TRATAMIENTO”), sociedad inscrita en el Registro Mercantil de Madrid al tomo [-], folio [-], sección [-], hoja [-], inscripción [-]; representada en este acto por [-], de nacionalidad española, mayor de edad y con
N.I.F. [-], en virtud de la escritura de poder otorgada ante el Xxxxxxx xxx [-], el [-], bajo el número [-] de su protocolo.
Ambas partes reconociéndose capacidad jurídica y de obrar suficiente para el otorgamiento del presente Contrato de encargo de tratamiento y, al efecto,
EXPONEN
I. Que la prestación de los servicios objeto de licitación exigen el acceso del adjudicatario a los datos de carácter personal de los que resulta responsable del tratamiento CORREOS.
II. Que con el fin de dar cumplimiento a la normativa de Protección de Datos Personales ambas partes convienen en firmar el presente Contrato de Encargo del Tratamiento, el cual comprende las siguientes:
CLÁUSULAS
1. Posición de las partes
CORREOS ostenta la posición de RESPONSABLE DEL TRATAMIENTO con las funciones, derechos y obligaciones que le son propias. Y de otro lado, el adjudicatario ostenta la posición de ENCARGADO DEL TRATAMIENTO con las funciones, derechos y obligaciones que le son propias.
2. Obligaciones del adjudicatario
El adjudicatario llevará a cabo el tratamiento de datos personales derivado de la prestación del servicio contratado, de conformidad con las siguientes obligaciones:
Tratar los datos de acuerdo con las instrucciones de CORREOS y no destinarlos para ninguna otra finalidad.
Mantener actualizado un registro de todas las actividades de tratamiento efectuadas por cuenta de CORREOS, que contenga al menos: identificación de autorizados; categorías de tratamientos y una descripción general de las medidas técnicas y organizativas de seguridad adoptadas.
Guardar secreto y la más estricta confidencialidad con respecto a los datos de carácter personal a los que haya tenido acceso en virtud del encargo.
Garantizar que las personas autorizadas para tratar datos personales observan las instrucciones y protocolos remitidos por CORREOS, así como las medidas de seguridad legales, técnicas y organizativas establecidas y asegurar que se comprometen, de forma expresa y por escrito, a respetar la confidencialidad de los datos y a cumplir con las instrucciones de CORREOS.
Comprometerse a guardar bajo su control y custodia los datos personales accedidos y a no comunicarlos en modo alguno a terceros.
Poner a disposición de CORREOS toda la información necesaria para demostrar el cumplimiento de sus obligaciones, según el proceso establecido en el punto 5.
Asistir a CORREOS en la realización de los análisis de riesgo, la presentación de consultas previas a la AEPD, en el proceso de notificación de violaciones de seguridad y de respuesta a solicitudes de derechos.
Gestión de derechos: Dar traslado de las solicitudes de derechos de protección de datos o quejas o reclamaciones por esta materia que puedan formular los interesados de forma inmediata a CORREOS y, a no más tardar, dentro del plazo de tres días naturales a contar desde su recepción.
El deber xx xxxxxxx y confidencialidad obliga al adjudicatario durante su vigencia y perdurará indefinidamente en el tiempo una vez finalizada la relación.
En el caso de que el adjudicatario recabe datos personales por cuenta de CORREOS se obliga a realizarlo conforme las instrucciones de CORREOS, siguiendo la redacción y formato indicado y custodiando o dando traslado a CORREOS (según proceda) de las evidencias recogidas para acreditar el
cumplimiento del deber de información y, en su caso, de obtención del consentimiento
3. Obligaciones de CORREOS
Corresponden a CORREOS las siguientes obligaciones:
Permitir al adjudicatario el acceso a los datos objeto de tratamiento de conformidad con lo establecido en la presente cláusula.
Realizar el análisis de riesgos que puedan derivar de la actividad de tratamiento que va a ser objeto de encargo y, en base a tal análisis, indicar al adjudicatario las medidas técnicas y organizativas que deberá implementar para la prestación del servicio que conlleva el encargo de tratamiento.
Realizar, si fuese necesario, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el adjudicatario.
Realizar a la autoridad de control las consultas previas que correspondan.
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del adjudicatario.
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
4. Medidas de seguridad
El adjudicatario implantará las medidas de seguridad y mecanismos establecidos en el artículo 32 del RGPD y deberá adoptar todas aquellas medidas técnicas y
organizativas que, a tenor del análisis de riesgo efectuado por CORREOS, éste considere que resultan necesarias para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.
A este respecto, se acompaña como Adenda al presente contrato el listado de medidas de seguridad que el adjudicatario debe observar según el análisis de riesgo efectuado a la fecha de firma del contrato. Este catálogo tiene la consideración de mínimo exigible y se establece sin perjuicio de posibles ulteriores modificaciones que se transmitirán al adjudicatario por los medios de comunicación establecidos.
5. Derecho de auditoría
CORREOS, a efectos de verificar el nivel de cumplimiento por parte del adjudicatario de lo establecido en la normativa aplicable y en la presente cláusula, podrá exigir la realización de auditorías, ya sea por sí mismo o por medio de auditor independiente, autorizado por CORREOS.
CORREOS notificará al adjudicatario, con al menos cinco (5) días hábiles de antelación a la fecha en que desee llevarlas a cabo.
CORREOS podrá solicitar al adjudicatario la información necesaria para evaluar su nivel de cumplimiento.
Si como consecuencia de la realización de la auditoría CORREOS detectase cualquier clase de incumplimiento, de conformidad con lo establecido en la normativa aplicable y en la presente cláusula, podrá, a su sola discreción y en función de la gravedad de los mismos:
- Requerir al adjudicatario la resolución inmediata del incumplimiento detectado mediante la elaboración por su parte de un plan de corrección que deberá hacerse efectivo en un plazo determinado, que no podrá exceder de un mes, debiendo el adjudicatario aportar aquellas evidencias que acrediten su resolución.
- Terminar anticipadamente la prestación o prestaciones de Servicios cuyos tratamientos de datos personales se vean afectados por el incumplimiento detectado. En este caso, el adjudicatario deberá devolver a CORREOS la parte proporcional de los importes percibidos correspondientes a los Servicios que no hubieran sido efectivamente ejecutados.
6. Notificación de violaciones de seguridad
El adjudicatario deberá notificar a CORREOS las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, incluyendo toda la información relevante para la documentación y comunicación de la incidencia a la autoridad de control.
La notificación de la violación de seguridad por parte del adjudicatario deberá llevarse a cabo sin dilación indebida y, en todo caso, en el plazo máximo de 24 horas a contar desde que tuvo o debió tener conocimiento de la misma aplicando el nivel de diligencia exigible a un ordenado empresario, incluyendo toda la información relevante para la documentación y comunicación de la incidencia.
Si no fuera posible facilitar la información simultáneamente con la notificación, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
7. Destrucción o devolución de los datos una vez finalizado el contrato
Una vez cumplida la correspondiente prestación del servicio objeto del Contrato, el adjudicatario se compromete a devolver a CORREOS o a la persona que éste determine aquella información que contenga datos de carácter personal a la que haya accedido el adjudicatario con motivo de la prestación del servicio.
La devolución implicará la entrega o puesta a disposición de los datos tratados en un formato de uso común e interoperable. La entrega o puesta a disposición de los soportes originales, que a su vez fueron entregados o puestos a disposición del adjudicatario por CORREOS con motivo de la prestación del servicio, en los que se almacenen o contengan datos de carácter personal.
Finalizado el proceso de devolución, el adjudicatario deberá proceder a la destrucción de los datos existentes en los equipos informáticos y otros soportes por él utilizados. No obstante, el adjudicatario podrá conservar los datos e información tratada, debidamente bloqueados, en el caso que pudieran derivarse responsabilidades de su relación con CORREOS. Transcurrido el plazo de prescripción de las acciones que motivaron la conservación de datos, el ENCARGADO DEL TRATAMIENTO deberá proceder a su destrucción. Para ello, aplicará las medidas físicas y lógicas que resulten adecuadas para garantizar que los datos incorporados a los distintos soportes son irrecuperables.
8. Subcontratación
El adjudicatario no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este Contrato que comporten el tratamiento de datos personales, salvo previa autorización expresa y otorgada por escrito por parte de CORREOS.
Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito a CORREOS, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. Con carácter previo a cualquier actividad de tratamiento por parte del subencargado, CORREOS tendrá un plazo de 30 días para oponerse.
Transcurrido el plazo de 30 días sin que CORREOS hubiese manifestado su oposición se entenderá que acepta el subencargo comunicado.
Por el contrario, en caso de oposición, si el adjudicatario mantiene la necesidad de subcontratar con un tercero la correspondiente prestación pero no propone un nuevo subcontratista que cumpla con los extremos mencionados anteriormente, CORREOS podrá resolver libremente el Contrato de servicios y reclamar los daños y perjuicios a que hubiera lugar.
En caso de autorización, el subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el adjudicatario y las instrucciones que dicte CORREOS. Corresponde al adjudicatario regular la nueva relación de conformidad con el artículo 28 del RGPD, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.
En el caso de incumplimiento por parte del nuevo encargado, el adjudicatario seguirá siendo plenamente responsable ante CORREOS en lo referente al cumplimiento de las obligaciones.
9. Cláusulas de buenas prácticas
El adjudicatario se compromete a mantener durante la vigencia del contrato adjudicado su adhesión a todos aquellos Códigos de Conducta y mecanismos de certificación que hubiesen sido valorados en la adjudicación, así como a poner a disposición de CORREOS la documentación acreditativa de su vigencia.
10. Responsabilidad
El adjudicatario vendrá obligado a exonerar a CORREOS de cualquier tipo de responsabilidad frente a terceros, por reclamaciones de cualquier índole que tengan origen en el incumplimiento de las obligaciones de protección de datos de carácter personal que le incumben en su condición de encargado del tratamiento, y responderán frente a la indicada Sociedad del resultado de dichas acciones. El adjudicatario vendrá también obligado a prestar su plena ayuda en el ejercicio de las acciones que correspondan a CORREOS.
11. Tratamiento de datos de representantes y trabajadores
Los datos personales de los representantes de las partes, así como de sus trabajadores y resto de personas de contacto que puedan intervenir en la relación jurídica formalizada serán tratados, respectivamente, por CORREOS y por el adjudicatario, que actuarán, de forma independiente, como responsables del tratamiento de los mismos. Dichos datos serán tratados para dar cumplimiento a los derechos y obligaciones contenidas en la presente licitación, sin que se tomen decisiones automatizadas puedan afectar a los interesados. En consecuencia, la base jurídica del tratamiento es dar cumplimiento a la mencionada relación contractual.
Los datos se mantendrán mientras esté en vigor la relación contractual que aquí se estipula, siendo tratados únicamente por las partes y aquellos terceros a los que aquéllas estén legal o contractualmente obligados a comunicarlos.
Los interesados de las partes podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito a cada una de las Partes, a través de las direcciones especificadas en el encabezamiento o, en el caso de solicitudes de derechos frente a CORREOS en el correo electrónico xxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxx@xxxxxxx.xxx.
Asimismo, podrán ponerse en contacto con los respectivos delegados de protección de datos en la dirección xxxxxxxxxxxxxxx@xxxxxxx.xxx o [-], según corresponda, o presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente.
Las partes se comprometen expresamente a informar a sus trabajadores y resto de personas de contacto de los términos de la presente cláusula, manteniendo indemne a la contraparte.
MEDIDAS DE SEGURIDAD
I. ORGANIGRAMA Y ASIGNACIÓN DE FUNCIONES
- Disponer de un organigrama de asignaciones en materia de seguridad de la información, incluyendo cargos y funciones atribuidas a cada puesto.
- Contar con un procedimiento de control de accesos que incluya, entre otros:
o Gestión de altas/bajas en el registro de usuarios de repositorios de información asegurando que se asigna un identificador único a cada cuenta de usuario. Excepcionalmente, podrán permitirse identificadores de usuario (IDs) genéricos para ser utilizados por un individuo, en el caso de que las funciones accesibles o las acciones llevadas a cabo por ese identificador o necesiten ser detallada seguidas (por ejemplo, acceso de sólo lectura), o cuando están implantados otros controles (por ejemplo, si la contraseña para un ID genérico sólo se utiliza por una persona al mismo tiempo y se registra tal caso).
o Gestión de derechos y credenciales de acceso asignados a los usuarios.
o Gestión de privilegios especiales de acceso según el impacto que puede derivar de un uso inadecuado de los datos de carácter personal.
o Gestión de información confidencial de autenticación de usuarios.
o Política de retirada de cancelación de accesos y credenciales.
- Haber establecido un procedimiento de accesos a sistemas y aplicaciones que incluya:
o La restricción de acceso a la información.
o Procedimientos seguros de inicio de sesión en el que, como mínimo:
Se registre los intentos de entrada no satisfactorios.
Se limite el número máximo de intentos fallidos, de forma que La revisión de los privilegios de acceso de forma recurrente y después de cualquier cambio, tal como promoción, degradación o terminación del empleo.
o Procedimiento de uso de herramientas de administración de sistemas de información, tanto propias como externas.
- La revisión de los privilegios de acceso de forma recurrente y después de cualquier cambio, tal como promoción, degradación o terminación del empleo.
II. PROCEDIMIENTO DE GESTIÓN DE CONTRASEÑAS
- Contar con un procedimiento de gestión de contraseñas de usuario que incluya los siguientes aspectos:
o Forzar el uso de los identificadores de usuario (IDs) individuales y de las contraseñas para mantener la responsabilidad.
o Permitir a los usuarios seleccionar y cambiar sus propias contraseñas e incluir un procedimiento de confirmación que tenga en cuenta los errores de entrada.
o Forzar la elección de contraseñas de calidad.
Ser fáciles de recordar.
No se basen en algo que alguien más pueda fácilmente adivinar u obtener usando la información relativa a la persona, por ejemplo nombres, números de teléfono, y fechas de nacimiento etc..
No sean vulnerables a ataques de diccionario (por ejemplo, que no consistan en palabras incluidas en diccionario).
No contengan caracteres consecutivos, idénticos, todos numéricos o todos alfanuméricos
o Forzar el cambio de contraseñas, por lo menos, cada 6 meses y siempre que existan indicios de que su confidencialidad ha podido verse comprometida.
o Forzar a los usuarios el cambio de las contraseñas temporales después de la primera entrada.
o Mantener un registro de las contraseñas de usuarios anteriores y prevenir su reutilización.
o No mostrar las contraseñas en la pantalla cuando se están introduciendo.
o No incluir contraseñas en ningún proceso de registro automático, por ejemplo almacenamiento en una macro o en una función clave.
o Almacenar los ficheros de contraseñas por separado de los datos de la aplicación del sistema.
o Almacenar y transmitir las contraseñas de forma que se garantice su integridad y confidencialidad.
- Plantear el uso de contraseñas basadas sistemas de autenticación fuerte (p.ej. mediante el uso de tarjetas inteligentes combinado con una contraseña).
III. GESTIÓN DE SOPORTES
- Llevar a cabo un inventariado de soportes y gestión de activos, incluyendo:
o Un registro de propiedad de los activos.
o Una política interna de usos aceptables de los activos.
o Una política de devolución/sustitución de activo.
o Un registro de asignación de activos al personal al cargo.
- Disponer de una política seguridad de equipos y de control de acceso a los repositorios físicos de información, garantizando que los mismos cuenten con las debidas garantías de seguridad respecto a:
o El acceso a los repositorios de la información, incluyendo un registro de entradas y salidas.
o Un procedimiento de salida de activos fuera del entorno de la entidad.
o Un procedimiento de puesto de trabajo despejado y bloqueos de equipo
o Un procedimiento de mantenimiento de activos.
- Contar con una política de mesas limpias que exija que:
o El puesto de trabajo esté limpio y ordenado.
o La documentación que no se esté utilizando se encuentre guardada correctamente (armario bajo llave para documentos en soporte papel y carpetas de red para soportes informáticos), especialmente en el momento en que se abandona temporalmente el puesto de trabajo y al finalizar la jornada.
o Prohibir expresamente que haya usuarios o contraseñas apuntadas en post-it o similares o que se comparta esta información.
- Disponer de una serie de normas y procedimientos de control para los puestos de trabajo desatendidos que incluya:
o El bloqueo automático de la pantalla transcurrido un cierto período de tiempo sin que se utilice.
El apagado de los ordenadores centrales, servidores y ordenadores personales de la oficina cuando la sesión termine.
IV. ACCESO FÍSICO AL LOCAL
- Contar con un procedimiento de control de entrada y “área segura” que incluya:
o Controles físicos de entrada.
o Perímetro de seguridad.
o Protección contra amenazas externas o ambientales.
o Una política de seguridad para oficinas, despachos y recursos.
V. MONITORIZACIÓN DE EQUIPOS Y REGISTRO DE LOGS
- Disponer de un procedimiento de monitorización de equipos que incluya:
o Identificación de las medidas de seguridad.
x Xxxxxx de eventos que deberían ser registrados.
o Tipología de eventos a registrar.
o Procesos de recogida y protección de logs.
- Los registros de los logs del administrador y operador de sistemas deben ser revisados regularmente.
- Resulta recomendable contar con sistemas de detección de intrusión gestionados fuera del sistema de control y de los administradores de red, para controlar el cumplimiento de las actividades del sistema y de administración de la red.
VI. FICHEROS TEMPORALES
- Solo se crearán ficheros temporales cuando resulte preciso para la realización de trabajos temporales o auxiliares.
- Finalizado el trabajo que justificó su creación el fichero deberá ser destruido.
VII. COPIAS DE SEGURIDAD Y RESPALDO Y RESILENCIA
- Disponer de un procedimiento de copias de seguridad y respaldo que, incluya, como mínimo los siguientes aspectos:
o La realización de una copia de seguridad con una periodicidad mínima semanal en un segundo soporte distinto del destinado a los usos habituales.
o Las pruebas con datos reales deberán evitarse, salvo en aquellos supuestos en que sea inevitable su uso o suponga un esfuerzo desproporcionado atendiendo al nivel de riesgo que implica el tratamiento. En estos casos con carácter previo
al desarrollo de pruebas con datos reales se procederá a la realización de una copia de seguridad.
- Disponer de un Plan de continuidad de servicios TI que abarque todos los sistemas y componentes TI que procesan datos personales, incluyendo otras ubicaciones y centros de procesamiento de datos.
VIII. DESTRUCCIÓN DE LA DOCUMENTACIÓN
- Disponer de un procedimiento de destrucción segura de información que:
o Haga uso de las medidas físicas y lógicas necesarias para garantizar la irrecuperabilidad de la documentación destruida.
o Impida que se desechen documentos o soportes electrónicos que contengan datos personales sin garantizar su destrucción.
IX. AMENAZAS INFORMÁTICAS
- SEGURIDAD DE REDES: Deberá contar con una política de gestión de seguridad en las redes que:
o Proponga mecanismos de seguridad asociados a servicios en red.
o Disponga de controles de red y políticas de segregación de redes.
- ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y
ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
- MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
- CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales. El sistema de cortafuegos deberá ser actualizado de forma periódica.
- FUGA O SALIDA DE INFORMACIÓN: Introducir medidas técnicas en los sistemas de información que restrinjan la posibilidad que datos personales puedan ser exportados de forma no autorizada (p.ej. Restricción de las funcionalidades de descarga, impresión y almacenamiento de datos en los sistemas de información que procesan los datos personales) e implementar medidas técnicas que permitan detectar transmisiones no autorizadas de datos personales dentro de la organización y hacia fuera de la misma (p.ej. Sistemas de prevención de fugas de información, herramientas de monitorización de actividades de usuarios en los sistemas de información.
X. CIFRADO DE DATOS
- Cuando se precise realizar la extracción de datos personales fuera xxx xxxxxxx donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá contar con un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
- Todo tratamiento de datos sensibles u otros cuya pérdida de integridad, confidencialidad y/o disponibilidad puedan tener un importante impacto en los
derechos y libertades de las personas se realizará en base a una política de seudonimización de los mismo frente al acceso de terceros o para la realización de pruebas con datos reales, de manera que garanticen la integridad y confidencialidad de los mismos. Dicha política debe incluir:
o La gestión de claves para la encriptación/desencriptación.
o Un sistema de etiquetado/cifrado que garantice el anonimato de los titulares de los datos.
o Un cifrado de información de dispositivos de almacenamiento (como pendrive, equipos informáticos o almacenamientos remotos).
o Una política de envío seguro de información a través de documentación cifrada.
XI. CONTROL DE CAMBIOS EN TI
- Los sistemas operacionales y las aplicaciones de software deberían estar sometidas a un estricto control de la gestión del cambio. En particular, se deberían considerar los siguientes puntos:
o La identificación y registro de los cambios significativos.
o La planificación y pruebas de los cambios.
o La evaluación de los impactos potenciales, incluyendo los impactos en la seguridad de dichos cambios. d) el procedimiento de aprobación formal de los cambios propuestos.
o La comunicación de los detalles de los cambios a las personas correspondientes.
o Los procedimientos de colchón, incluyendo los procedimientos y responsabilidades de abortar y recuperar los cambios infructuosos y los eventos imprevistos.
- Los procedimientos y las responsabilidades formales de la Dirección deberían asegurar de una manera satisfactoria el control de todos los cambios en los equipos, en el software o en los procedimientos. Cuando los cambios son realizados, se debería conservar un registro de auditoria que contenga toda la información importante.
XII. CONTROL DE CAMBIOS EN APLICATIVOS
- Los procedimientos de control de cambios deberían estar documentados y aplicarse para minimizar la corrupción de los sistemas de información.
- La introducción de nuevos sistemas o de cambios importantes en los sistemas existentes debería seguir un proceso formal de documentación, especificación, pruebas, control de calidad e implementación gestionada. Este proceso debería incluir:
o Una evaluación de riesgos
o Un análisis de los efectos de los cambios
o Una especificación de los controles de seguridad necesarios.
o Las medidas necesarias para garantizar que los procedimientos existentes de seguridad y control no se vean en peligro y que los programadores de la asistencia técnica sólo tengan acceso a aquellas partes del sistema necesarias para su trabajo requiriendo de consentimiento y aprobación formal para cualquier cambio.
XIII. GESTIÓN DE INCIDENCIAS Y BRECHAS DE SEGURIDAD
- Contar con un procedimiento de gestión de incidencias y brechas de seguridad que permita su identificación, tratamiento y notificación al Responsable, conforme a lo dispuesto en la normativa de protección de datos.
XIV. VIDEOVIGILANCIA
- En caso de contar con sistemas de captación de imágenes con fines de seguridad:
o Se deberá contar con un registro de ubicaciones de las cámaras y monitores de observación.
o Se deberá conservar las imágenes por el plazo máximo de 1 mes, salvo que su conservación resulte necesaria para investigar un hecho que haya afectado a la seguridad de las personas, bienes e instalaciones.