ACUERDO DE CORRESPONSABILIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

[Escriba aquí] 

ACUERDO DE CORRESPONSABILIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

En ____________ , a [***] de ____________ de 20[**] .

INTERVIENEN

De una parte, D./Xx _____[nombre del representante]_________, en su calidad de _[puesto del representante]____ de _[ENTIDAD 1]__ con domicilio en la calle ______________ y NIF número ______________, (En adelante ______).

De otra parte, D./Xx _____[nombre del representante]_________, en su calidad de _[puesto del representante]____ de _[ ENTIDAD 2]__ con domicilio en la calle ______________ y NIF número ______________, (En adelante ______).

De otra parte, D./Xx _____[nombre del representante]_________, en su calidad de _[puesto del representante]____ de _[ ENTIDAD 3]__ con domicilio en la calle ______________ y NIF número ______________, (En adelante ______).

Consideradas en su conjunto como “Las Partes” o “Los corresponsables del tratamiento”, se reconocen mutuamente la capacidad legal bastante para suscribir este Acuerdo y quedar obligadas en la representación en que respectivamente actúan, y en su virtud,

MANIFIESTAN

I.- Que _[ENTIDAD 1]__ es una entidad especializada en _____________________________________________________________________________________.

II.- Que _[ENTIDAD 2]__ es una entidad especializada en _____________________________________________________________________________________.

III.- Que _[ENTIDAD 3]__ es una entidad especializada en _____________________________________________________________________________________.

IV.- Que, en el marco de dicha actividad, las Partes han suscrito un [Acuerdo/Convenio/Contrato de Servicios…..] con fecha _________________], y en virtud del cual las partes se comprometen a;

[Descripción del objeto del convenio o del servicio contratado].

V.- Que para la consecución de los objetivos descritos en el Expositivo anterior, es inherente que las partes traten datos personales como corresponsables del tratamiento, determinando conjuntamente los objetivos y los medios del tratamiento.

VI.- Que de conformidad con el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD), y el artículo 29 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); a través del presente se definen las obligaciones y responsabilidades que asumen las partes, con arreglo a las siguientes:

CLAUSULADO.

PRIMERA. - OBJETO.

A los efectos de dar cumplimiento a lo establecido en el artículo 26 del RGPD, este Acuerdo tiene por objeto establecer el régimen jurídico aplicable a LAS PARTES, para actuar como Corresponsables del tratamiento de los datos personales necesarios para la consecución del objeto del contrato/convenio indicado en el Manifiesto IV del presente Acuerdo, que se integra jurídicamente en él.

SEGUNDA. - IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA.

Quedan establecidos en el ANEXO I del presente Acuerdo los datos personales, categorías de interesados, el tratamiento y la finalidad permitida para cada una de las partes.

TERCERA. – OBLIGACIONES DE LAS PARTES.

Las partes se obligan a cumplir todas las obligaciones derivadas del RGPD, de la LOPDGDD, así como de la legislación complementaria y que pueda sustituirlos en materia de protección de datos personales. Igualmente, se comprometen a colaborar entre ellas para facilitar su cumplimiento.

Las partes reconocen actuar como corresponsables del tratamiento de los datos personales necesarios para la ejecución del [acuerdo/convenio/contrato….] referido en el Manifiesto IV y tener legitimidad suficiente para tratarlos.

Las partes se comprometen a tratar los datos personales necesarios para ejecutar este Acuerdo únicamente para dar cumplimiento a su objeto, teniendo en consideración que los datos podrán ser tratados por los corresponsables de acuerdo con los tratamientos lícitos y previstos en estos casos en sus respectivas instituciones, fuera del régimen de corresponsabilidad establecido en este acuerdo. Las partes garantizarán que cuando faciliten datos personales al resto de partes lo harán cumpliendo todas las exigencias de la normativa vigente. En especial, deberán garantizar que lo hacen atendiendo a los principios de licitud, lealtad y transparencia, así como el principio de minimización de datos, y de manera que se garantice su exactitud.

En observancia de la normativa aplicable, en particular, el RGPD y la LOPDGDD, cada Corresponsable, se compromete a respetar todas las obligaciones legales que pudieran corresponderle.

Las Partes, en su condición de Corresponsables, garantizan el cumplimiento de la normativa vigente en materia de protección y de datos y, a título enunciativo, no limitativo, garantizan:

3.1. Deber de Información

Cumplirá con el deber de información a los interesados contemplado en los artículos 13 y 14 del RGPD y 11 de la LODGGDD, aquel corresponsable/s que realice la recogida de datos , indicando la identidad de todos los corresponsables y el medio de cada uno a través del cual los interesados pueden ejercer sus derechos de: acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas (incluida la elaboración de perfiles).

[Si las partes así lo acuerdan puede establecerse la utilización de un canal o procedimiento de información únicos]

3.2. Respuesta y gestión del ejercicio de derechos

Cada parte será responsable de atender las solicitudes de ejercicio de derechos establecidos en los artículos 15 a 22, ambos inclusive, del RGPD, que correspondan a tratamientos en los que ostenten la consideración de responsable del tratamiento.

En el caso de que un interesado se dirija a la parte que no tenga bajo su responsabilidad el tratamiento de los datos sobre los que se ejercen los derechos en cuestión, esta remitirá la solicitud de forma inmediata a la parte responsable del tratamiento.

No obstante, lo anterior, los interesados podrán ejercer los derechos que les reconoce el RGPD frente a, y en contra de, cada uno de los responsables, atendiendo a lo dispuesto en el artículo 26.3 RGPD. Las partes colaborarán entre sí para la adecuada atención y satisfacción de los derechos de los interesados.

Los corresponsables deben comunicar a las otras partes por escrito la recepción de las solicitudes de ejercicio de derechos a fin de que puedan resolverlas conjuntamente dentro del plazo establecido. Será el corresponsable a quién se hubiera dirigido el interesado quién deberá contestarle por escrito, salvo que las partes acuerden otra cosa.

[Si las partes así lo acuerdan puede establecerse la utilización de un canal único, que no será óbice para que los interesados ejerzan sus derechos ante cualquier corresponsable]

3.3. Medidas de Seguridad

Las partes se obligan a implantar las medidas de seguridad técnicas y organizativas adecuadas al riesgo para proteger los datos personales objeto de tratamiento en el marco de este Acuerdo, de conformidad con el artículo 32 del RGPD y, si corresponde, con el Esquema Nacional de Seguridad, de acuerdo con la legislación aplicable.

3.4. Confidencialidad y comunicación de datos.

Las partes mantendrán la confidencialidad en el tratamiento de todos los datos personales facilitados por las partes y de la información, de cualquier clase o naturaleza, resultante de la ejecución del presente contrato/convenio al que acompaña el presente Acuerdo.

Los datos de carácter personal no serán comunicados a terceros, salvo cuando se cedan a encargados de tratamiento autorizados o a otros organismos o Administraciones Públicas conforme a lo previsto legalmente.

La obligación general de confidencialidad será complementaria de los deberes xx xxxxxxx profesional de conformidad con su normativa aplicable. Todas las personas que, actuando en nombre de cada responsable, tengan acceso a los datos personales de los interesados deben recibir instrucciones sobre el cumplimiento de sus obligaciones en materia xx xxxxxxx, confidencialidad y protección de datos.

Las obligaciones de confidencialidad y xx xxxxxxx tendrán carácter indefinido, incluso después de que finalice el objeto del acuerdo/convenio/contrato…

3.5. Incidentes de seguridad

En caso de sufrir un incidente de seguridad que afecte a los datos personales objeto de este Acuerdo, debe notificarse al resto de corresponsables, sin dilación indebida, y en un máximo de 48 horas con toda la información relevante, incluyendo como mínimo:

• Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

• Datos de la persona de contacto del Corresponsable afectado para obtener más información.

• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Se determinará de forma conjunta el alcance del incidente y si constituye un riesgo para los derechos y libertades del interesado, a efectos de determinar si es necesario realizar una notificación ante la Autoridad de Protección de Datos competente y, en su caso, a los interesados.

3.6. Cesión

Tratar los datos personales conforme a los fines y medios regulados en este convenio/contrato/acuerdo, y no comunicar o ceder los citados datos a terceros no autorizados, ni siquiera para su conservación, sin la autorización correspondiente, previa autorización expresa y por escrito de todos los corresponsables del tratamiento o existencia de obligación legal.

[Incluir aquí autorizaciones de cesión de datos, si se conocieran en el momento de la firma]

3.7. Encargo de Tratamiento.

La intervención de encargados de tratamiento requerirá el consentimiento de las partes y la suscripción del correspondiente acuerdo de encargo conforme a lo previsto en el art. 28 del RGPD, que se anexará al presenta Acuerdo.

3.8. Colaboración

Las partes quedan obligadas a colaborar entre ellas y a poner a disposición del corresponsable que lo solicite toda la información de la que se disponga para cumplir con la normativa en protección de datos, incluyendo el apoyo en la realización de Evaluaciones de Impacto en Protección de Datos (EIPD), Auditorías, inspecciones u otros.

3.9. Responsabilidades

El incumplimiento por parte de alguna de las partes de la normativa en protección de datos, así como de las obligaciones referidas en el presente acuerdo comportará que responda directamente y de forma individual ante las Autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo y/o del cumplimiento de la legislación vigente en materia de protección de datos de carácter personal. En caso de que tal incumplimiento cause un daño al resto de corresponsables, éstos podrán reclamar daños y perjuicios a la parte o partes incumplidoras.

Las partes responderán solidariamente frente a terceros de los tratamientos de datos personales derivados de este Acuerdo, en los que actúen como corresponsables y les sean atribuibles o no puedan ser atribuidos a partes concretas, sin perjuicio de la posibilidad de las partes de reclamar contra la parte o las partes incumplidoras.

CUARTA. - DURACIÓN.

La duración del presente Acuerdo está vinculado a la duración del contrato o convenio del cual se deriva y de las responsabilidades que cualquiera de los corresponsables mantenga en cumplimiento de sus obligaciones legales. Ello se entiende al margen del carácter indefinido de las obligaciones de confidencialidad y xx xxxxxxx a las que recogidas en la estipulación tercera.

QUINTA. - LEGISLACIÓN Y JURISDICCIÓN.

El presente Acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de la ciudad de [______________], con renuncia a cualquier otro fuero que les pudiera corresponder.

SEXTA.- PROTECCIÓN DE DATOS.

Información de las partes.

Se informa a los representantes que firman el presente Acuerdo de Corresponsabilidad para el tratamiento de datos personales en [ indicar tratamiento, actividad, objeto del acuerdo….] y a las personas de contacto que aparezcan en el mismo, que sus datos de carácter personal serán objeto de tratamientos responsabilidad de cada una de las partes, cuya finalidad es el mantenimiento de las relaciones colaborativas de las mismas, siendo imprescindible para ello que se aporten sus datos identificativos, la capacidad de representación que ostentan, número de DNI o documento equivalente y su firma.

Asimismo, las partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento de la relación colaborativa.

Los datos personales de los firmantes del presente Acuerdo, y demás personas de contacto serán tratados en base a la ejecución del Acuerdo, así como en base al cumplimiento de una obligación legal y de una misión de interés público, con la finalidad de gestionar el mantenimiento, cumplimiento, desarrollo, control y ejecución de lo dispuesto en el presente Acuerdo.

Los datos serán conservados durante la vigencia del Acuerdo y, posteriormente, con la finalidad de atender a las posibles responsabilidades derivadas de la relación. Los datos no serán objeto de comunicación a ninguna entidad.

Los afectados podrán ejercer sus derechos de acceso, rectificación, cancelación/supresión, oposición, limitación y portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social que consta al comienzo del presente documento, o por correo electrónico a las siguientes direcciones aportando fotocopia de su DNI o documento equivalente e identificando el derecho que se solicita:

• Universidad xx Xxxxxxx: xxx@xx.xx

• [PARTE 1…..]

• [PARTE 2…..]

• ………………

Asimismo, en caso de considerar que se ha producido algún tipo de vulneración en relación con el tratamiento de sus datos personales, podrán interponer una reclamación ante correo electrónico de cada una de las partes o ante la Autoridad de Control competente.

Y en prueba de conformidad, las partes suscriben el presente Acuerdo, en la ciudad y fecha al inicio indicados.

Parte 1

Parte 2

Parte 3

Anexo I

1. Categorías de Datos Personales

(Marcar con una X la categoría de datos que vaya a tratar la otra parte. Eliminar los datos que no apliquen)

☐
Datos identificativos:

Nombre y Apellidos, DNI o NIE, Dirección, Teléfono, Dirección de Correo Electrónico, IP, imagen, voz...

☐
Características personales:

Fecha y lugar de nacimiento, edad, estado civil, sexo, datos familiares, nacionalidad, idioma…

☐
Circunstancias sociales:

Aficiones, hábitos, forma de vida, propiedades, inscripciones…

☐
Información académica o profesional:

Formación, titulaciones, expediente académico…

☐
Detalles del empleo:

CV, vida laboral, puesto de trabajo, experiencias laborales anteriores …

☐
Información comercial:

Informes con datos personales, estadísticas que identifiquen al individuo…

☐
Información económico-financiera y de seguros:

Datos bancarios, ingresos, rentas, ayudas, becas, prestaciones, créditos, préstamos, avales, plan de pensiones, jubilación…

☐
Categorías especiales de datos:

Origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, datos relativos a la vida sexual o la orientación sexual de una persona física…

☐
Datos personales relativos a condenas e infracciones penales:

Expediente o historial judicial, sanciones, procedimientos judiciales…

☐
Otros ( especificar)

2. Operaciones de tratamiento de datos que realizará cada corresponsable.

☐
Recogida

☐
Registro

☐
Organización

☐
Estructuración

☐
Conservación

☐
Adaptación o modificación

☐
Extracción

☐
Consulta

☐
Utilización

☐
Difusión o cualquier otra forma de habilitación de acceso

☐
Cotejo o interconexión

☐
Limitación

☐
Supresión o destrucción

☐
Comunicación por transmisión

☒
Otros (especificar)

3. Categorias de Interesados

(Marcar con X los colectivos cuyos datos personales van a ser objeto de tratamiento por parte del encargado. En caso de ‘otros’ especificar el colectivo al que se hace referencia).☐
Estudiantes

☐
PDI

☐
PAS

☐
Antiguos estudiantes

☐
Participantes en proyectos de Investigación

☐ Ciudadanos nacionales

☐ Extranjeros comunitarios

☐ Extranjeros no comunitarios.

☐ Sujetos vulnerables: Menores de edad.

☐ Otros sujetos vulnerables (ancianos, menores, personas con discapacidad, víctimas de violencia de género, personas participantes en programas de inserción laboral o reinserción social, refugiados políticos, titulares de derecho de asilo u otro tipo de protección similar, etc)

☐ Empleados por cuenta propia o ajena.

☐ Profesionales de sectores específicos (educación, salud…) Empleado públicos. Altos cargos de la administración. Directivos de empresas. Representantes electos. Cargos políticos

☐ Consumidores de bienes y servicios de uso corriente.

☐ Pacientes sometidos a tratamientos sanitarios. Usuarios de servicios sociales.

☐ Personas condenadas penalmente.

☐ Personas definidas en función de sus hábitos (deportistas, coleccionistas, aficionados a determinados eventos, usuarios de redes de contacto social…)

☐Otros: ( especificar)

4. Finalidad y funciones de cada parte:

1. Parte 1…[ incluir qué puede hacer cada parte y con qué finalidad va a tratar los datos]

2. Parte2….…[ incluir qué puede hacer cada parte y con qué finalidad va a tratar los datos]

3. Parte 3………[ incluir qué puede hacer cada parte y con qué finalidad va a tratar los datos]