CONDICIONES GENERALES DEL CONTRATO DE ENCARGADO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

CONDICIONES GENERALES DEL CONTRATO DE ENCARGADO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

que se suscriben con el fin de protegerlos y de ejecutar lo establecido en el artículo 28.3 del Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, «RGPD») y el artículo 12 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y concordantes de su normativa de desarrollo.

Primera. Objeto del encargo del tratamiento

Mediante este contrato se habilita al proveedor de un suministro o servicio de la UOC (en adelante, «proveedor») o a la contraparte de un convenio o acuerdo (en adelante,

«contraparte») para que pueda tratar los datos de carácter personal necesarios, por cuenta de la UOC, como responsable del tratamiento.

El tratamiento es el descrito en las condiciones particulares del contrato de encargado del tratamiento de datos de carácter personal de la Universitat Oberta de Catalunya que hayan firmado las partes (en adelante, «condiciones particulares»).

Segunda. Duración

Este contrato tiene la misma duración que la prestación del servicio descrito y que consta en las condiciones particulares.

Tercera. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la UOC pone a disposición del proveedor los datos personales que se describen y que se encuentran geográficamente almacenados en las condiciones particulares.

Cuarta. Obligaciones del encargado del tratamiento

El proveedor o la contraparte, en su calidad de encargado del tratamiento, y todo su personal se obligan a:

a) Utilizar los datos personales objeto de tratamiento, o los que se recojan para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso pueden utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones de la UOC. Si el proveedor considera que alguna de las instrucciones infringe el RGPD o cualquier disposición en materia de protección de datos, informará de ello inmediatamente a la UOC.

c) Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de la UOC que contenga:

1. Los datos de contacto del proveedor como encargado del tratamiento y de la UOC como responsable del tratamiento y, en su caso, del representante del encargado o del responsable y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de la UOC.

3. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

i) La pseudonimización y el cifrado de datos personales.

ii) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

iii) La capacidad de restaurar rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.

iv) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d) No comunicar los datos personales a terceras personas, a menos que cuente con la autorización expresa de la UOC en los supuestos admisibles legalmente.

El proveedor puede comunicar los datos a otros encargados del tratamiento de la UOC de acuerdo con las instrucciones de esta universidad. En este caso, la UOC identificará, previamente y por escrito, los datos personales, la entidad a la que se comunicarán y las medidas de seguridad que se aplicarán para proceder a la comunicación.

Si el proveedor tuviese que transferir datos personales a un país tercero o a una organización internacional en virtud de una disposición que le sea aplicable del derecho de la Unión o de alguno de sus estados miembros, el proveedor deberá informar previamente a la UOC de esta exigencia legal, salvo que este derecho lo prohibiera por razones importantes de interés público.

e) No subcontratar ninguna de las prestaciones que formen parte del objeto del presente contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el funcionamiento normal de los servicios del proveedor.

Si fuera necesario subcontratar algún tratamiento, este hecho deberá comunicarse previamente y por escrito a la UOC, con una antelación de un mes, indicando los tratamientos que se quieren subcontratar e identificando clara e inequívocamente la empresa subcontratista y sus datos de contacto.

El subcontratista, que también tiene la condición de encargado del tratamiento, está igualmente obligado a cumplir las obligaciones establecidas en el presente documento para el proveedor, así como las instrucciones que dicte la UOC. Corresponde al encargado inicial regular la nueva relación de manera que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y los mismos requisitos formales que él en cuanto al tratamiento adecuado de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por parte del subencargado, el proveedor sigue siendo plenamente responsable del cumplimiento de las obligaciones.

f) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del encargo, incluso después de que acabe su objeto.

g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, expresamente y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que se les deberá informar convenientemente.

h) Mantener a disposición de la UOC la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratarlos y mantener a disposición de la UOC la documentación acreditativa del cumplimiento de esta obligación.

j) Asistir a la UOC en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y de no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles.

Con este fin, cuando las personas afectadas ejerzan alguno de estos derechos ante el proveedor o la contraparte, estos se lo comunicarán por correo electrónico a la dirección xxxx_xx@xxx.xxx. La comunicación se hará inmediatamente, y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. Además, el proveedor o la contraparte, como encargado del tratamiento, resolverá, por cuenta de la UOC como responsable y dentro del plazo establecido, las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión, posición, limitación del tratamiento, portabilidad de datos y de no ser objeto de decisiones individualizadas automatizadas en relación con los datos objeto del encargo.

k) En cuanto al derecho de información, el encargado del tratamiento, en el momento de la recogida de los datos, facilitará la información relativa a los tratamientos de datos que se llevarán a cabo. La redacción y el formato en el que se facilitará la información se consensuarán con el responsable antes de empezar la recogida de los datos.

l) El proveedor notificará a la UOC por correo electrónico, sin dilación indebida, y en cualquier caso antes del plazo máximo de veinticuatro horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesario notificarlos cuando sea improbable que esta violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

En su caso, se facilitará, como mínimo, la siguiente información:

1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados.

2. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto donde se pueda obtener más información.

3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

4. Descripción de las medidas adoptadas o propuestas para subsanar la violación de la seguridad de los datos personales, incluidas, en su caso, las medidas adoptadas para mitigar los posibles efectos negativos de aquella. Si no se puede facilitar la

información simultáneamente, y en la medida en que no lo sea, la información se facilitará gradualmente, sin dilación indebida.

Corresponde al proveedor o la contraparte comunicar las violaciones de la seguridad de los datos a la Autoridad Catalana de Protección de Datos. La comunicación contendrá, como mínimo, la siguiente información:

1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados.

2. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto donde se pueda obtener más información.

3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

4. Descripción de las medidas adoptadas o propuestas para subsanar la violación de la seguridad de los datos personales, incluidas, en su caso, las medidas adoptadas para mitigar los posibles efectos negativos de aquella.

Si no se puede facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará gradualmente, sin dilación indebida.

Corresponde al proveedor comunicar a los interesados, lo antes posible, las violaciones de la seguridad de los datos cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación se llevará a cabo en un lenguaje claro y sencillo y, como mínimo, debe:

1. Explicar la naturaleza de la violación de datos.

2. Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

4. Describir las medidas adoptadas o propuestas para subsanar la violación de la seguridad de los datos personales, incluidas, en su caso, las medidas adoptadas para mitigar los posibles efectos negativos de aquella.

m) Apoyar a la UOC en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

n) Xxxxxx a la UOC en la realización de las consultas previas a la autoridad de control, cuando proceda.

o) Poner a disposición de la UOC toda la información necesaria para demostrar el cumplimiento de sus obligaciones, y también para hacer las auditorías o inspecciones que realice el responsable u otro auditor autorizado por él.

p) Aplicar las medidas técnicas, organizativas y de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos objeto de este contrato, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contenido y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas.

Dado que los servicios se prestarán en las instalaciones o con los medios del proveedor o de la contraparte, y atendiendo a la naturaleza de los datos personales a los que el proveedor tendrá acceso para la prestación de los servicios, este último se compromete a adoptar las medidas de seguridad descritas en las condiciones particulares.

En todo caso, y con independencia de estas medidas de seguridad, el proveedor o la contraparte debe implantar mecanismos para:

1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

2. Restaurar rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.

3. Verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

4. Pseudonimizar y cifrar los datos personales, si procede.

q) En los casos previstos en la normativa vigente, designar a un delegado de protección de datos y comunicar su identidad y datos de contacto a la UOC.

r) Devolver a la UOC los datos de carácter personal y, en su caso, los soportes en los que consten una vez se haya completado la prestación del servicio. La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el proveedor. No obstante, el proveedor puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

s) Si es el caso, devolver al encargado que designe por escrito la UOC los datos de carácter personal y, si procede, los soportes en los que consten una vez se haya completado la prestación del servicio. La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

t) Si no reciben una instrucción en contra de la UOC, destruir los datos una vez se haya completado la prestación del servicio. Una vez destruidos, el encargado certificará la destrucción por escrito y entregará el certificado a la UOC. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Quinta. Obligaciones del responsable del tratamiento

Corresponde a la UOC:

a) Entregar los datos al proveedor o la contraparte.

b) Colaborar en la realización de una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento que haga el proveedor o la contraparte.

c) Formular las consultas previas que corresponda.

d) Xxxxx, previamente y durante todo el tratamiento, por el cumplimiento del RGPD por parte del proveedor.

e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Sexta. Responsabilidad

Las obligaciones establecidas para el proveedor o la contraparte en este contrato son de obligado cumplimiento para sus empleados y colaboradores, tanto internos como externos, por lo que el proveedor o la contraparte responderá ante la UOC si estas obligaciones se incumplen.

Cualquier incumplimiento de las obligaciones previstas en este contrato por parte del proveedor o la contraparte lo convierte en responsable de tratamiento y exonera expresamente a la UOC de cualquier responsabilidad derivada directa o indirectamente de este incumplimiento, supuesto en el que el proveedor indemnizará a la UOC por cualquier daño, perjuicio o gasto derivado directa o indirectamente de este incumplimiento contractual, a título enunciativo y no limitativo, cualquier reclamación de terceros o sanciones impuestas por la Administración pública.

Séptima. Legislación aplicable y jurisdicción competente

Este contrato se rige por la legislación española. Para cualquier disputa o controversia en relación con su interpretación o ejecución, las partes se someten expresamente a la jurisdicción de los juzgados y tribunales de la ciudad de Barcelona y renuncian expresamente a cualquier fuero que pudiera corresponderles legalmente.

[Versión CG_GDPR_1.1_25.05.18]