Contrato Marco de identificación y autentificación de usuarios para el acceso a los sistemas de información de Enagás
Contrato Marco de identificación y autentificación de usuarios para el acceso a los sistemas de información de Enagás
De una parte, ENAGÁS, S.A. (en adelante, “ENAGÁS”)
Y de otra parte, Empresa solicitante de acceso a los sistemas de información de ENAGÁS, S.A., (en adelante SUJETO)
A los efectos del presente contrato ENAGÁS y SUJETO serán designadas conjuntamente como las “Partes” e individual e indistintamente como la “Parte”.
Reconociéndose ambas Partes capacidad legal suficiente para otorgar el presente Contrato,
EXPONEN:
1º ENAGÁS presta servicios de autenticación fuerte fundados en tecnologías xx xxxxx factor utilizando servicios y arquitecturas de seguridad basados en sistemas líderes en el sector.
2º Que ENAGÁS presta servicios de certificación de conformidad con la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. Los certificados electrónicos emitidos cumplirán las especificaciones técnicas y servirán para las finalidades definidas en la Declaración de Prácticas de Certificación publicada por ENAGÁS. La ruta de acceso a dicha Declaración está incluida en las características de los certificados emitidos.
3º Que SUJETO está interesado en utilizar dichos métodos de autenticación fuerte para el acceso a sistemas de información gestionados por ENAGAS S.A. y/o sus filiales (o por el grupo de empresas ENAGÁS).
En virtud de lo expuesto, ambas Partes acuerdan celebrar el presente Contrato Marco de prestación de servicios de identificación de usuarios mediante la utilización del software y la arquitectura de servicios proporcionados por ENAGÁS, de conformidad con las siguientes:
CLAUSULAS
1. OBJETO
El objeto del presente Contrato es la prestación por ENAGÁS a SUJETO del servicio de identificación y autenticación de usuarios mediante la utilización del hardware y/o software propuesto por ENAGÁS como mecanismo de autenticación fuerte, para el acceso a los sistemas de información de ENAGÁS, y la utilización de dichos servicios por SUJETO, de conformidad con los términos previstos en el presente Contrato.
2. PUBLICACIÓN DEL CONTRATO. DOCUMENTO DE ADHESIÓN
El presente Contrato será publicado en la web corporativa de ENAGÁS y firmado digitalmente por ENAGÁS al objeto de fijar electrónicamente la fecha de publicación y garantizar la integridad de su contenido en cualquier copia electrónica que se descargue. Las modificaciones, en su caso, en el texto del Contrato, serán debidamente comunicadas a SUJETO e incluidas en una nueva versión del Contrato, que sustituirá a la anterior y será publicada en la forma anteriormente descrita.
El Contrato será suscrito por ENAGÁS y SUJETO mediante la firma electrónica del Documento de Adhesión al mismo.
3. OBLIGACIONES DE ENAGAS
3.1 ENAGÁS proporcionará los medios hardware y/o software necesarios para proceder a la identificación y autenticación fuerte de los usuarios que accedan en nombre de SUJETO a los sistemas de información de Enagás S.A. o cualquiera de las empresas del grupo ENAGÁS. Las personas autorizadas a acceder en representación de SUJETO a los sistemas de información de ENAGÁS aparecen detalladas en el Anexo I del Documento de Adhesión al presente Contrato. Este anexo deberá actualizarse con las altas y bajas que se produzcan por parte de SUJETO.
Se denomina mecanismo de autenticación fuerte a aquel en el que, para proceder a la autenticación de los usuarios, es necesario utilizar de forma conjunta, al menos, dos métodos diferentes de entre los siguientes:
• Método basado en algo que se sabe. Es necesario el conocimiento de forma exclusiva de algo por parte del usuario.
Por ejemplo una contraseña, un pin numérico, un patrón gráfico, etc.
• Método basado en algo que se tiene. Es necesario demostrar que se tiene algo que sólo el usuario puede tener. Por ejemplo una credencial (dni, pasaporte), un token criptográfico, un email, un número de teléfono móvil, etc.
• Método basado en algo que se es. Es necesario demostrar que el usuario posee una cualidad fisiológica única. Por ejemplo una huella digital, reconocimiento facial, reconocimiento de iris o retina, etc.
3.2 Los mecanismos de autenticación fuerte que ENAGÁS implemente en cada momento serán proporcionados de forma telemática siempre que sea posible a los usuarios. En el caso de ser necesario el envío físico, éste se realizará a la dirección de la sede social de la compañía incluida en este contrato.
3.3 En el caso de que se utilicen certificados electrónicos, éstos serán entregados en soporte software (fichero) o soporte hardware (tarjeta criptográfica, token criptográfico o similar) en función de la finalidad y de la tecnología que se disponga en el momento de la firma. El certificado electrónico no estará condicionado por el soporte entregado.
A los efectos del presente contrato, se entenderá que un certificado de componentes es aquel certificado electrónico expedido por ENAGÁS que vincula unos datos de verificación de firma a una aplicación informática sobre la que existe una persona jurídica determinada que actúa como responsable, siendo ésta la que tiene el control sobre dicha aplicación.
3.4 Las características de uso y seguridad de los mecanismos de autenticación fuerte proporcionados por Enagás están definidos de acuerdo con los estándares de seguridad de la serie de normas ISO/IEC 27000 y definidas en la Declaración de Prácticas de Certificación de ENAGÁS en el caso de ser un certificado.
3.5 ENAGÁS, a requerimiento de SUJETO, notificado de conformidad con la Cláusula 10, procederá a revocar y retirar la autorización de acceso, de aquellos usuarios de los designados en el Anexo I que le sean indicados por SUJETO. Igualmente, ENAGÁS procederá a dar de alta a los usuarios que, de la misma forma, le comunique SUJETO. Las modificaciones anteriormente mencionadas se llevarán a cabo mediante una actualización del precitado Anexo I. Para ello se firmará un nuevo Anexo I que extinguirá y sustituirá al vigente al tiempo de su novación.
3.6 Enagás se reserva el derecho de bloquear el acceso o dar de baja de forma definitiva a los usuarios, que por inactividad prolongada, sospecha de suplantación, comportamiento sospechoso o en general cualquier motivo que pueda interpretar como un riesgo para la seguridad de la empresa. Dichas modificaciones serán comunicadas al representante de la empresa para su aclaración y consolidación en el Anexo I del Documento de Adhesión a este Contrato.
4. OBLIGACIONES DE SUJETO
4.1 SUJETO comunicará a ENAGÁS los datos relativos a los usuarios de su compañía para los que solicita el acceso.
4.2 SUJETO colaborará con ENAGÁS y mantendrá a ésta informada de todos aquellos aspectos que pudieran ser necesarios para un mejor desarrollo de los servicios objeto de este Contrato. En particular, SUJETO: (i) suministrará toda la información y documentación exigida, responsabilizándose de su veracidad y corrección; (ii) notificará inmediatamente a ENAGÁS en caso de que detecte que se ha incluido cualquier información incorrecta o inexacta o en caso de que, de forma sobrevenida, la información de identificación del usuario o del Anexo I no se corresponda con la realidad; y (iii) solicitará la suspensión/revocación del acceso del usuario y/o certificado, a los sistemas de información de ENAGÁS cuando éste, por cualquier motivo, deje de representar a SUJETO.
4.4 Los mecanismos de autenticación fuerte son personales e intransferibles, por lo que SUJETO no podrá entregar ni ceder elemento alguno relacionado con dichos mecanismos a personas distintas de las especificadas en el Anexo I, ni éstas a ninguna otra persona, física o jurídica.
4.5 SUJETO se compromete a custodiar y utilizar los certificados electrónicos de forma diligente conforme a la Ley y a los límites fijados por la Declaración de prácticas de certificación publicada por ENAGÁS y el propio certificado.
4.6 SUJETO se compromete a notificar de inmediato a ENAGÁS la pérdida, robo, hurto, mal uso o falsificación de cualquier elemento relacionado con el mecanismo de autenticación fuerte, solicitando la revocación del mismo, y en general acerca de cualquier situación que pueda afectar a la validez del mecanismo, o a la seguridad de los accesos.
5. PRECIO
Los servicios objeto del presente Contrato se prestan con carácter gratuito. No obstante, ENAGÁS se reserva el derecho de establecer en el futuro un precio a los indicados servicios sobre la base de criterios debidamente informados, en cuyo caso, lo notificará a SUJETO con un preaviso mínimo de 30 días a su entrada en vigor. Dentro de dicho plazo SUJETO deberá notificar su decisión de rechazar el precio señalado por ENAGÁS. La falta de dicha notificación en el plazo reseñado se entenderá como aceptación del precio establecido por ENAGÁS.
6. DURACIÓN
El presente Contrato surtirá efecto a partir del día siguiente a la firma del Documento de Adhesión al mismo y tendrá una duración inicial de dos años, prorrogable tácitamente por periodos sucesivos de un año, salvo notificación en contrario de alguna de las Partes, comunicada a la otra con una antelación de dos meses a la fecha prevista de terminación del Contrato o de cualquiera de sus prórrogas.
7. RESPONSABILIDAD
7.1 Cada una de las Partes será responsable por los daños y perjuicios que cause a la otra como consecuencia de actuaciones y omisiones en las que haya intervenido culpa grave o dolo.
7.2 Salvo dolo, las Partes tan solo responderán por los daños y perjuicios efectiva y directamente causados por ellas. Queda expresamente excluida la responsabilidad por daños indirectos y consecuenciales, entre otros y sin carácter limitativo, las pérdidas empresariales o de negocio (incluyendo lucro cesante, de ingresos, de contratos, de ahorros previstos, de datos, pérdida del fondo de comercio o gastos innecesarios incurridos), y cualquiera otros daños que no fueran razonablemente previsibles por las Partes en el momento en que SUJETO hubiera comenzado a utilizar los servicios de ENAGÁS.
7.3 Las Partes se eximen mutuamente de cualquier daño que pudiera producirse, cualquiera que fuese la causa -incluida la negligencia de las Partes-, en sus respectivas instalaciones y/o sistemas, así como a su personal y/o sus propiedades, salvo lo previsto en la subcláusula
7.1 anterior.
Las Partes no serán responsables por la no ejecución o retraso en la ejecución de las obligaciones asumidas en virtud de este Contrato o de la Declaración de Prácticas de Certificación publicada por ENAGÁS si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor, caso fortuito o, en general, cualquier circunstancia sobre la que no puedan tener un control razonable y entre otros: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico y/o telefónico, los virus informáticos, deficiencias en los servicios de telecomunicaciones, violaciones de seguridad del sistema de certificación o cualquier perjuicio que se derive de un hecho causado por un avance imprevisible de la técnica.
7.4 ENAGÁS no será responsable de las acciones u omisiones que, como consecuencia del acceso objeto del presente Contrato, lleve a cabo SUJETO, o cualquiera de los usuarios designados por ésta de acuerdo con la Cláusula 4.
ENAGAS no será responsable de los daños derivados de o relacionados con la no ejecución o ejecución defectuosa de las obligaciones a cargo de SUJETO y/o de los usuarios suscriptores, ni de la incorrecta utilización de los métodos de autenticación y las claves, ni de cualquier daño indirecto que pueda resultar de la utilización del método de autenticación o de la información suministrada por ENAGÁS. ENAGÁS no será responsable de las eventuales inexactitudes en la identificación de los usuarios que resulten de la información facilitada por SUJETO o los usuarios.
ENAGÁS no será responsable del contenido de aquellos documentos firmados o cifrados digitalmente.
ENAGÁS no se responsabilizará del correcto funcionamiento con aplicaciones que no estén aprobadas, y por daños generados por la imposibilidad del uso con dichas aplicaciones.
ENAGÁS no será responsable por deterioros o averías en los equipos informáticos o en los datos por causas no imputables directamente a la utilización de los métodos de autenticación, y siempre que SUJETO o el usuario suscriptor no actúe con la diligencia necesaria.
Cualquiera que sea la causa por la que pudiera reclamarse a ENAGÁS responsabilidad derivada de este Contrato, la pretensión indemnizatoria no podrá exceder, salvo en el supuesto de dolo, la cifra de [60.000] €.
8. CESIÓN
8.1 ENAGÁS podrá transmitir, a título singular y mediante cualquier negocio jurídico traslativo, su posición en el presente Contrato a cualquier otra compañía que forme parte del Grupo ENAGÁS debiendo notificarlo a SUJETO.
8.2 SUJETO no podrá ceder o transferir a terceros, en todo o en parte, los derechos y obligaciones que surgen del Contrato sin el previo consentimiento por escrito de ENAGÁS. El incumplimiento de esta obligación por parte de SUJETO será causa de resolución del Contrato.
8.3 El cesionario, en todo caso, asumirá íntegramente todos los derechos y obligaciones que resultan del presente Contrato, sean anteriores o posteriores al momento en que la cesión sea efectiva.
9. RESOLUCIÓN DEL CONTRATO
El presente Contrato podrá resolverse en los casos siguientes:
• A opción de la Parte cumplidora, por incumplimiento grave de la otra Parte de alguna de sus obligaciones principales bajo el presente Contrato. A tal efecto, la Parte que considere que se da alguna causa de incumplimiento remitirá a la otra Parte notificación compeliéndola a subsanar dicho incumplimiento. De no ser subsanado el incumplimiento dentro de los diez días naturales siguientes de efectuada la notificación mencionada, la Parte cumplidora podrá resolver el presente Contrato.
• Por terminación del plazo de duración inicial o de cualquiera de las prórrogas en los términos previstos en la Cláusula 6.
• Por voluntad de cualquiera de las Partes, comunicada fehacientemente a la otra Parte con una antelación de dos meses.
• A opción de cualquiera de las dos Partes, cuando una causa de fuerza mayor imposibilite o dificulte el cumplimiento del Contrato por un periodo superior a un mes.
• Por incumplimiento de la obligación establecida en la Cláusula 8.2 anterior.
• Por mutuo acuerdo de las Partes.
10. COMUNICACIONES
Todas las comunicaciones entre las Partes relativas a este Contrato se realizarán conforme a lo indicado en el Documento de Adhesión al mismo.
11. LEY APLICABLE Y JURISDICCIÓN
11.1 El presente Contrato se regirá por la legislación común española.
11.2 Las Partes se comprometen a cumplir el presente Contrato de buena fe, resolviendo por medio de negociaciones y acuerdos amistosos cualquier diferencia que pudiera surgir entre ellas respecto de la aplicación, desarrollo, cumplimiento, interpretación y ejecución del mismo.
11.3 Las Partes se someten expresamente a la jurisdicción y competencia de los Juzgados y Tribunales de Madrid capital, para resolver toda diferencia o litigio relativo al Contrato, particularmente en cuanto a su interpretación, ejecución o inejecución, ya sobrevenga antes o tras su expiración, y que según la opinión de una de las Partes, éstas sean incapaces de resolver por mutuo acuerdo.
11.4 El sometimiento de los conflictos entre las Partes a los citados órganos judiciales, no faculta a ninguna de ellas para suspender el cumplimiento de sus obligaciones según Contrato.
12. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
12.1 Objeto
ENAGÁS, como consecuencia de la actividad que presta a SUJETO, accede a datos de carácter personal responsabilidad de SUJETO. A estos efectos, SUJETO tendrá la consideración de responsable del tratamiento (en adelante RESPONSABLE DEL TRATAMIENTO) y ENAGÁS tendrá la consideración de encargado del tratamiento (en adelante, ENCARGADO DEL TRATAMIENTO) conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016 (en adelante, RGPD).
12.2 Descripción del Tratamiento
Los datos afectados por el presente Contrato serán utilizados con la única finalidad de identificar y autenticar a las personas que acceden a los sistemas objeto del Contrato en representación del RESPONSABLE DEL TRATAMIENTO.
12.3 Información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE DEL TRATAMIENTO, pone a
disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:
• Nombre y Apellidos.
• DNI.
• Dirección de email profesional.
• Número de teléfono móvil profesional.
12.4 Obligaciones para el RESPONSABLE DEL TRATAMIENTO El RESPONSABLE DEL TRATAMIENTO se obliga a:
1. Entregar al ENCARGADO DEL TRATAMIENTO los datos objeto del tratamiento indicados en el presente Contrato.
2. Realizar una valoración de los riesgos que supongan los tratamientos y, cuando proceda, una evaluación de impacto de los tratamientos de datos que deba realizar el encargado.
3. Notificar las brechas de seguridad a la Autoridad de Control competente de conformidad con el artículo 55 del RGPD sin dilación indebida, y en cualquier caso antes del plazo máximo de
72 horas desde que haya tenido constancia de ellas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de los motivos de la dilación.
4. Comunicar en el menor tiempo posible las brechas de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.
5. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO DEL TRATAMIENTO.
6. Corresponde al RESPONSABLE DEL TRATAMIENTO facilitar el derecho de información en el momento de la recogida de los datos. El ENCARGADO DEL TRATAMIENTO no recoge datos personales en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO. Los datos a los que acceda el ENCARGADO DEL TRATAMIENTO en virtud del presente Contrato, deberán ser obtenidos y tratados conforme a la normativa vigente en materia de protección de datos de carácter personal.
12.5 Obligaciones para el ENCARGADO DEL TRATAMIENTO
Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, el ENCARGADO DEL TRATAMIENTO aplicará las medidas técnicas y organizativas definidas en el presente Contrato para
garantizar un nivel de seguridad adecuado al riesgo, cumpliendo con las siguientes obligaciones:
1. Principio de minimización de los datos
Acceder a los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO únicamente cuando sea imprescindible para el buen desarrollo de los servicios para los que ha sido contratado.
2. Limitación de la finalidad
No destinar, aplicar o utilizar los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO con un fin distinto del indicado en el presente Contrato, o de cualquier otra forma que suponga un incumplimiento de las instrucciones de RESPONSABLE DEL TRATAMIENTO.
3. Responsabilidad
Asumir la condición de RESPONSABLE DEL TRATAMIENTO en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del Contrato, los comunique o los utilice incumpliendo las estipulaciones del Contrato o las obligaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido.
4. Confidencialidad en la comunicación de los datos
No permitir el acceso a los datos de carácter personal proporcionados por el RESPONSABLE DEL TRATAMIENTO a ningún empleado de su responsabilidad que no tenga la necesidad de conocerlos para la prestación de los servicios contratados.
No revelar, transferir, ceder o comunicar de cualquier otra forma los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del RESPOSABLE DEL TRATAMIENTO.
5. Registro de Actividades del Tratamiento
En caso de estar obligado al Registro de Actividades del Tratamiento por el artículo 30 del RGPD, el ENCARGADO DEL TRATAMIENTO mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO, que contenga la información exigida por el artículo 30.2 del RGPD.
6. Formación
Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
7. Consultas a la Autoridad de Control
Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a la Autoridad de Control, cuando proceda.
8. Supervisión
Poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que lleve a cabo el RESPONSABLE DEL TRATAMIENTO u otro auditor autorizado por este.
9. Medidas de seguridad
Adoptar y aplicar las medidas de seguridad siguientes, conforme a la evaluación de riesgos realizada y, en su caso la Evaluación de Impacto, según lo dispuesto en el artículo 32 del RGPD que garanticen la seguridad de los datos de carácter personal del RESPONSABLE DEL TRATAMIENTO, de tal manera que eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
Las medidas de seguridad aplicables al tratamiento de datos tienen por objeto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento y;
d) Xxxxxxxxxxxx y cifrar los datos personales, en caso de ser necesario.
Para ello, se llevan a cabo las siguientes medidas:
a) Control de acceso a los sistemas SL-ATR a través del establecimiento de medidas de identificación y autenticación.
b) Políticas, normas y procedimientos de gestión segura de cualquier tipo de soporte que almacene datos de carácter personal y permita su traslado fuera de las ubicaciones principales de tratamiento de datos.
c) Realización de copias de respaldo y recuperación periódicas.
d) Definición de las funciones y obligaciones de cada uno de los usuarios (empleados) o perfiles de usuarios con acceso a los datos y a los sistemas de información.
e) Realización de acciones formativas sobre el conocimiento de estos deberes y las consecuencias del incumplimiento de los mismos.
f) Notificación y registro de las incidencias de seguridad que puedan suponer un riesgo en la confidencialidad o la integridad de los datos así como notificación de las brechas en la seguridad de los datos personales de conformidad con el procedimiento establecido.
10. Notificación de brechas de la seguridad de los datos
El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL
TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas de manera motivada, las brechas de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente: (i) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; (ii) el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; (iii) descripción de las posibles consecuencias de la violación de seguridad de los datos personales y
(iv) descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
11. Delegado de Protección de Datos
En caso de estar obligado a ello por el artículo 37.1 del RGPD, deberá designar un delegado de protección de datos y comunicar su identidad
y datos de contacto a RESPONSABLE DEL TRATAMIENTO, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del RGPD.
12. Comunicación de datos a terceros países
El ENCARGADO DEL TRATAMIENTO sólo podrá transferir datos personales a un tercer país u organización internacional si hubiera ofrecido las garantías adecuadas conforme el artículo 46 del RGPD, y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
12.6 Deber de confidencialidad
El ENCARGADO DEL TRATAMIENTO se compromete a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el RESPONSABLE DEL TRATAMIENTO con motivo de la prestación de servicios objeto de este Contrato.
La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre el responsable y encargado del tratamiento. Asimismo, el ENCARGADO DEL TRATAMIENTO será responsable de que su personal, colaboradores y todas las personas que se encuentren bajo su responsabilidad y puedan tener acceso a la información confidencial y a los datos de carácter personal del RESPONSABLE DEL TRATAMIENTO, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el RESPONSABLE DEL TRATAMIENTO.
12.7 Duración
El tratamiento de los datos personales objeto del presente Contrato se prolongará durante todo el período de vigencia contractual.
12.8 Destino de los datos al finalizar la relación contractual
Una vez finalizado el Contrato y, por tanto, la relación derivada del mismo entre el RESPONSABLE DEL TRATAMIENTO y ENCARGADO DEL
TRATAMIENTO, este último procederá a la destrucción de los datos de carácter personal del RESPONSABLE DEL TRATAMIENTO.
El ENCARGADO DEL TRATAMIENTO podrá conservar, debidamente bloqueados, los datos de carácter personal del RESPONSABLE DEL TRATAMIENTO, en tanto pudieran derivarse responsabilidades de la relación entre ambos.
12.9 Ejercicio de derechos
El ENCARGADO DEL TRATAMIENTO deberá dar traslado al RESPONSABLE DEL TRATAMIENTO de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y de no ser objeto de decisiones individualizadas automatizadas, efectuada por un afectado cuyos datos hayan sido tratados por el ENCARGADO DEL TRATAMIENTO con motivo del cumplimiento del objeto del presente Contrato, a fin de que el RESPONSABLE DEL TRATAMIENTO resuelva sobre la solicitud en los plazos establecidos por la normativa vigente.
El traslado de la solicitud al RESPONSABLE DEL TRATAMIENTO deberá enviarse con la mayor celeridad posible, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
La solicitudes deberán dirigirse por escrito a la dirección Xxxxx xx xxx Xxxxx xx 00, 00000 Xxxxxx con la referencia “Protección de Datos”, adjuntando fotocopia del DNI del usuario o bien enviando un correo electrónico a: xxxxxxxxxxxxxxxxx@xxxxxx.xx.
Asimismo, el ENCARGADO DEL TRATAMIENTO deberá tramitar cualquier instrucción relativa a los precitados derechos que reciba a través del RESPONSABLE DEL TRATAMIENTO, dentro del plazo establecido.
12.10 Subcontratación
El ENCARGADO DEL TRATAMIENTO podrá subcontratar con distintos proveedores prestaciones que formen parte del objeto de este Contrato y que comporten el tratamiento de datos personales.
El RESPONSABLE DEL TRATAMIENTO consiente la subcontratación de los proveedores para la normal prestación de los servicios.
El subencargado, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este Contrato para el ENCARGADO DEL TRATAMIENTO, así como las instrucciones que dicte el RESPONSABLE DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO seguirá siendo
plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de dichas obligaciones.