ANEXO AL CONTRATO Nº 00000-2000
ANEXO AL CONTRATO Nº 00000-2000
ENCARGO DE TRATAMIENTO1 DE DATOS DE CARÁCTER PERSONAL
REUNIDOS
De una parte, D. Xxxx Xxxxxxx Xxxxxxx Xxxxxxx, Rector Magnífico de la Universidad xx Xxxxxxxx, con CIF X0000000X y domicilio social en Xxxxx Xxxxxxx, 00 xx Xxxxxxxx (CP 50009), que actúa en representación de la misma en ejercicio de la facultad que le reconocen los artículos 61 y 209 de sus Estatutos, aprobados por Decreto 1/2004, de 13 de enero, del Gobierno xx Xxxxxx y modificados por Decreto 27/2001, de 8 de febrero, y el art. 323 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), BOE nº. 272 de 9 de noviembre y, en su nombre y por delegación, según Resolución de Resolución de 21/1/2021 (B.O.A. nº 20 de 1/2/2021), el Sr. Gerente D. Xxxxxxx Xxx Xxxxx, en aplicación de los artículos 9 y 12 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. En adelante, el responsable del tratamiento o RESPONSABLE.
Y de otra parte, Representante, con D.N.I. , quien actúa como representante legal de CONTRATISTA con NIF y domicilio social en de (CP ), haciéndolo en calidad de de la misma conforme consta a la documentación social aportada y debidamente bastanteada por el Servicio Jurídico de la Universidad xx Xxxxxxxx. En adelante, el encargado del tratamiento o ENCARGADO.
INTERVIENEN ambas partes en el nombre y la representación indicada, reconociéndose mutuamente capacidad legal necesaria para suscribir el presente encargo de tratamiento de datos personales y cumplir con las obligaciones, deberes y derechos que se derivan del mismo y, en base a ello, reseñan los siguientes:
ANTECEDENTES
I.- Que la Universidad xx Xxxxxxxx, en el marco de su actividad relativa a la docencia y a la investigación, es responsable del tratamiento de los datos personales incorporados a su Inventario de Actividades de Tratamiento conforme a lo dispuesto en la legislación vigente
II.- Que CONTRATISTA es una empresa cuyo objeto social consiste, entre otros, en Objeto social
III.- Que en esta misma fecha la Universidad xx Xxxxxxxx formaliza con CONTRATISTA un contrato administrativo de prestación de servicios de “objeto”, expediente nº 00000-2000 de su referencia.
IV.- Que CONTRATISTA cumple estrictamente con la normativa vigente en materia de protección de datos de carácter personal, aplica las medidas técnicas y organizativas apropiadas para el tratamiento de datos conforme a los requisitos exigidos por el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDyGDD) y garantiza la protección de los derechos del interesado.
1 Este documento será un Anexo al contrato principal de prestación de servicios, del que será parte inseparable.
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
1
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
V.- Que, para la correcta prestación del servicio contratado, las partes estiman necesario que la adjudicataria tenga posibilidad de acceso y, en su caso, realice tratamientos de los datos personales contenidos en “Objeto del contrato” de los que es responsable la universidad xx Xxxxxxxx, por lo que CONTRATISTA asume las funciones y obligaciones de ENCARGADO del tratamiento.
El acceso a estos datos no se considerará comunicación de datos cuando se cumpla lo dispuesto en este encargo, de conformidad con lo establecido en el artículo 28 RGPD y art. 33.1 LOPDyGDD.
Con el fin de proceder a la formalización de este encargo, de modo previo,
EXPONEN
1. Definiciones
Los términos y conceptos a los que se hace referencia en el presente documento se entenderán definidos según lo establecido en el artículo 4 del RGPD y, de forma complementaria, en la LOPDyGDD así como en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS).
2. Legislación aplicable
La adjudicataria se somete en todo caso a la normativa europea y nacional vigente en materia de protección de datos; esta obligación tiene el carácter de obligación contractual esencial, conforme a lo establecido en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP).
A estos efectos, el ENCARGADO presenta una DECLARACIÓN en la que pone de manifiesto su sometimiento al RGPD y a la normativa nacional en material de protección de datos indicando dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos, Esta DECLARACIÓN se incorpora como documento Anexo
Para la correcta prestación de los servicios relacionados, en cumplimiento de la normativa vigente en materia de protección de datos de carácter personal y en la Disposición Adicional Vigésima Quinta de la Ley 9/2017 LCSP, ambas partes acuerdan libremente regular el acceso y tratamiento de los datos de carácter personal mencionados, con arreglo a las siguientes
CLÁUSULAS
PRIMERA. – Objeto y finalidad del encargo.
Es objeto de este encargo el acceso y, en su caso, tratamiento de los datos de carácter personal que se relacionan en las cláusulas Tercera y Cuarta.
El RESPONSABLE del tratamiento pone a disposición del ENCARGADO del tratamiento dichos datos única y exclusivamente con la finalidad de llevar a cabo la prestación de los servicios detallados en el contrato administrativo suscrito entre las partes en esta misma fecha del que este documento pasa a ser Anexo inseparable.
SEGUNDA. – Duración del encargo.
La duración del presente contrato es el establecido en el contrato administrativo de prestación de
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
2
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
servicios formalizado entre ambas partes, incluidas en su caso las correspondientes prórrogas, no siendo las obligaciones y prestaciones contenidas en este acuerdo retribuibles de forma distinta a lo previsto en el contrato de servicios
TERCERA. – Acceso e identificación de la información afectada.
El acceso a la información se llevará a cabo, siempre que sea posible, a través de los propios sistemas y las herramientas de la Universidad, bajo la supervisión del personal de la Universidad a cargo del contrato principal o aquél que corresponda.
El acceso y las operaciones de tratamiento necesarias para el cumplimiento de la prestación se limitan a los tratamientos y la tipología de datos siguientes:
TRATAMIENTOS
(Explicitar nombre del Tratamiento conforme al Inventario de Actividades de Tratamiento)
Tratamiento | |
Tratamiento | |
Tratamiento |
TIPOLOGÍA DE DATOS (Márquese lo que proceda)
☐ | Datos identificativos (Nombre y apellidos, DNI, Dirección, Tfno, mail, Firma/Huella, Imagen/Voz,…) |
☐ | Datos de características personales (Estado civil, sexo, edad, fecha y lugar de nacimiento, datos de familia, idioma, nacionalidad,…) |
☐ | Datos Académicos y Profesionales (Formación, Titulaciones, Expediente Académico, experiencia profesional,…) |
☐ | Datos de detalle de empleo (Cuerpo/Escala, Categoría/Grado, Puestos de trabajo, Datos no económicos,...) |
☐ | Datos económico-financieros (datos bancarios, datos económicos de nómina, indemnizaciones, planes de pensiones, …) |
☐ | Datos de circunstancias sociales (Aficiones, pertenencia a clubes, biblioteca, asociaciones,…) |
☐ | Datos de infracciones y sanciones administrativas o de naturaleza penal . |
☐ | Categorías especiales de datos (Salud, Afiliación sindical, Religión, Ideología, Creencias, Vida sexual, Origen racial o étnico, Violencia de género) |
☐ | Otros: Indicar cuáles |
CUARTA. - Operaciones de tratamiento autorizadas al ENCARGADO.
Los tratamientos a realizar se concretarán en: (Márquese lo que proceda)
☐ | Recogida (Captura de datos) | ☐ | Registro (Grabación) | ☐ | Estructuración | ☐ | Modificación |
☐ | Conservación (Almacenamiento) | ☐ | Extracción | ☐ | Consulta | ☐ | Comunicación por transmisión |
☐ | Difusión | ☐ | Interconexión | ☐ | Cotejo | ☐ | Limitación |
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
3
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
☐ | Supresión | ☐ | Destrucción (copias temporales) | ☐ | Conservación en sus sistemas de seguridad | ☐ | Recuperación |
☐ | Comunicación | ☐ | Copia (Copias temporales) | ☐ | Copia de seguridad | ☐ | Otros |
QUINTA.- Obligaciones del ENCARGADO.
Según lo establecido en la normativa vigente en materia de protección de datos de carácter personal, el ENCARGADO del tratamiento y todo su personal se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos, el encargado informará inmediatamente al RESPONSABLE.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento que incluya los requisitos establecidos en el artículo 32.1 RGPD,
d) Adoptar todas las medidas técnicas y organizativas necesarias para la protección de los datos personales en sus propios centros y sistemas de tratamiento que sean suficientes para garantizar un nivel de seguridad adecuado al riesgo del tratamiento y, en particular, las siguientes:
• garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento,
• en caso de incidente físico o técnico, restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
• verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento
• las establecidas para este tipo de tratamientos en el Esquema Nacional de Seguridad (ENS) conforme a lo dispuesto en la Disposición adicional primera de la LOPDyGDD,
• La seudonimización y el cifrado de los datos personales,en su caso.
e) No comunicar o ceder los datos a terceras personas, ni siquiera para su conservación, salvo que cuente con la autorización expresa del RESPONSABLE del tratamiento, en los supuestos legalmente admisibles. Dicha autorización, de existir, se anexará al presente contrato.
f) Xxxxxxxx el deber de confidencialidad y secreto profesional respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente contrato, incluso después de que finalice el mismo.
g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles adecuadamente manteniendo a disposición del responsable la documentación acreditativa del cumplimiento de esta obligación.
h) Garantizar la formación necesaria en materia de protección de datos personales de las
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
4
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
personas autorizadas para tratarlos.
i) Asistir al responsable en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y derecho a no ser objeto de decisiones individualizadas automáticas (incluida la elaboración de perfiles).
Cuando los titulares de los datos ejerzan alguno de estos derechos ante el ENCARGADO del tratamiento, éste deberá comunicarlo al RESPONSABLE, a la dirección xxxxxxxx@xxxxxx.xx, de forma inmediata y en ningún caso más allá del día laborable siguiente a la recepción de la solicitud, juntamente, en su caso, con aquellas informaciones que puedan ser relevantes para resolverla.
j) En caso de que la prestación del servicio incluya la recogida de datos personales por cuenta del RESPONSABLE, el ENCARGADO del tratamiento se obliga a facilitar a los interesados la información relativa a los fines y tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se adoptará de mutuo acuerdo con el RESPONSABLE antes del inicio de la recogida de datos.
k) Dar apoyo al RESPONSABLE, cuando xxxxxxx, en la realización de las evaluaciones de impacto y en la realización de consultas a la Autoridad de Control.
l) Xxxxx a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
m) Comunicar cualquier variación que se produzca en relación con los datos incluídos en la Declaración del Expositivo 2 relativos a la ubicación de los servidores y del lugar de prestación de los servicios asociados a los mismos,
La adhesión a un Código de Conducta o mecanismo de certificación podrá servir de elemento demostrativo del cumplimiento de los requisitos establecidos en este apartado.
SEXTA. – Subcontratación del tratamiento de datos por el ENCARGADO.
El ENCARGADO no podrá subcontratar a un tercero la realización de ningún tratamiento de datos que le hubiera encomendado el RESPONSABLE, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado
Si fuera necesario subcontratar algún tratamiento se deberá comunicar previamente y por escrito al RESPONSABLE con una antelación mínima de 20 días hábiles, indicando los tratamientos que se pretendan subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a efecto si el responsable no manifiesta su oposición en el plazo establecido.
En tal caso, el subcontratista tendrá también la condición de ENCARGADO del tratamiento y quedará obligado a someterse a la normativa nacional y de la Unión Europea en materia de protección de datos debiendo ser advertido por el encargado de que esta obligación tiene el carácter de obligación contractual esencial de conformidad con lo dispuesto en la letra f) del apartado 1 del artículo 211 LCSP.
El subcontratista deberá cumplir igualmente las obligaciones establecidas en este documento para el ENCARGADO del tratamiento y las instrucciones que dicte el responsable.
Corresponde al ENCARGADO inicial formalizar por escrito la nueva relación de forma que el SUBCONTRATISTA quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él en lo referente al adecuado tratamiento
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
5
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
de los datos personales y a la garantía de los derechos de las personas afectadas.
En el caso de incumplimiento por parte del subcontratista, el ENCARGADO inicial seguirá siendo plenamente responsable ante el RESPONSABLE de los datos en lo referente al cumplimiento de las obligaciones de dicho subcontratista.
En el marco de una subcontratación, si el subcontratista del ENCARGADO DEL TRATAMIENTO está situado en un país fuera del ámbito de la UE/EEE y en un país que no tiene declarado el nivel adecuado de protección de datos personales por la Comisión Europea, o entidad no certificada en el marco del Escudo de Privacidad UE-EE.UU, será necesario que se otorguen las autorizaciones pertinentes y/o firmar las cláusulas tipo aprobadas por la Comisión Europea para estos casos. El ENCARGADO se abstendrá de realizar la transferencia internacional de datos requerida hasta que no se hayan obtenido las garantías adecuadas.
SÉPTIMA. – Notificación de violaciones de seguridad
El ENCARGADO del tratamiento notificará al RESPONSABLE, sin dilación indebida y, en cualquier caso, dentro del plazo máximo de 24 horas, a través de la dirección xxxxxxxx@xxxxxx.xx, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento juntamente con toda la información relevante para la comunicación y documentación de la incidencia.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la vulneración de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, la información se facilitará de manera gradual sin dilación indebida.
La notificación al RESPONSABLE será necesaria, en todo caso, aun cuando el ENCARGADO considere que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas titulares de los datos.
OCTAVA.- Obligaciones del RESPONSABLE.
Conforme a lo establecido en la normativa vigente en materia de Protección de Datos de Carácter Personal el RESPONSABLE del tratamiento deberá:
a) Dar acceso al ENCARGADO a los datos a los que se refiere la Cláusula TERCERA de este documento.
b) Realizar antes del tratamiento, en su caso, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento que vaya a llevar a cabo el ENCARGADO.
c) Supervisar el tratamiento que realice el ENCARGADO, incluida en su caso la realización de inspecciones y auditorías. El encargado deberá facilitarle cuantos datos o documentos le sean requeridos para el adecuado cumplimiento de la supervisión.
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
6
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento por parte del encargado de lo establecido en el RGPD y demás disposiciones legalmente aplicables en materia de protección de datos personales.
NOVENA. - Transferencia internacional de datos.
Las transferencias internacionales de datos personales sólo podrán realizarse si se cumplen las exigencias establecidas en el RGPD o normativa de desarrollo.
En caso de que se realicen o se tenga previsto realizar alguna transferencia internacional de datos se deberá regular este tratamiento de forma independiente adjuntándose como Anexo inseparable al contrato principal.
DÉCIMA. - Responsabilidad.
El ENCARGADO del tratamiento será considerado RESPONSABLE del tratamiento en caso de que destine los datos a otra finalidad, los comunique a terceros o los utilice incumpliendo el presente documento de encargo. En tales casos, el ENCARGADO responderá personalmente de las infracciones en que hubiera incurrido en materia de protección de datos personales.
El ENCARGADO indemnizará al responsable por los daños y perjuicios de cualquier naturaleza que pudieran resultar del incumplimiento de las obligaciones contraídas en virtud del presente contrato y/o por incurrir en alguna de las infracciones establecidas en los arts. 72 a 74 LOPDyGDD.
Indemnizará también a las personas que, por tales causas, hayan sufrido daños y perjuicios materiales x xxxxxxx.
La responsabilidad del ENCARGADO incluirá, además, el importe de cualquier sanción administrativa o resolución judicial condenatoria que pudiera resultar contra el RESPONSABLE del tratamiento además de los intereses de demora, costas judiciales e importe de su defensa.
DÉCIMOPRIMERA. - Destino de los datos.
Una vez cumplida la prestación de servicios el encargado del tratamiento se compromete a devolver al responsable los datos de carácter personal y, si procede, los soportes donde consten salvo instrucción documentada del responsable que le obligue a entregarlos a un nuevo encargado.
La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.
No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Caso de que la prestación de servicios no hubiera requerido ningún acceso, el encargado del tratamiento entregará al responsable, declaración expresa en tal sentido.
DÉCIMOSEGUNDA. - Delegados de protección de datos/ Responsables de privacidad.
El responsable del tratamiento tiene designado un Delegado de Protección de Datos, accesible en xxx@xxxxxx.xx y teléfono 000 00 00 00.
El encargado del tratamiento ha designado un [poner si es delegado de protección de datos o responsable de privacidad] cuyos datos de contacto son los suguientes…… y teléfono ………
Ambas partes se obligan a comunicar a su respectivo Delegado/Responsable cualquier adición, modificación o exclusión en el contenido del registro de las actividades de tratamiento.
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
7
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX
DÉCIMOTERCERA. - Para todo lo no expresamente previsto en este contrato se estará a lo dispuesto en el contrato administrativo de prestación de servicios del que este contrato es Anexo inseparable.
Y en prueba de conformidad de las partes, firman la formalización de este contrato mediante firma electrónica con código seguro de verificación (CSV) acreditativo de su identidad y fecha de realización.
X/ Xxxxx Xxxxxxx, 00 – Xxxxxx Xxxxxxxxxxxxx – 00000 Xxxxxxxx Tel. 000 00 00 00 / Fax 000 00 00 00
8
POR EL ADJUDICATARIO
POR LA UNIVERSIDAD XX XXXXXXXX