DATOS DEL EXPEDIENTE DE CONTRATACIÓN ELECTRÓNICA


DATOS DEL EXPEDIENTE DE CONTRATACIÓN ELECTRÓNICA


CONSEJERÍA/ORGANISMO CONTRATANTE: Gerencia de Servicios Sociales


CÓDIGO CONTRATO: A2024/000646-001

TIPO CONTRATO: Suministro

TÍTULO EXPEDIENTE: Suministro de una plataforma en la modalidad de Software As a Service (SAAS), para la prestación del servicio de la teleasistencia en la Comunidad xx Xxxxxxxx y León

OBJETO DEL CONTRATO: El objeto del contrato es el suministro de una plataforma en la modalidad de Software As a Service (SAAS), para la prestación del servicio de la teleasistencia en la Comunidad xx Xxxxxxxx y León.

TIPO DE TRAMITACIÓN: Ordinaria

PROCEDIMIENTO DE CONTRATACIÓN:

Procedimiento abierto

TRAMITACIÓN ECONÓMICA: Anticipada

CENTRO DIRECTIVO: Dirección Técnica Administrativa

UNIDAD PROMOTORA: Servicio de Informática


IVA: 173.553,72 €

IMPORTE DE LICITACIÓN SIN IVA: 826.446,28 €

IMPORTE DE LICITACIÓN CON IVA: 1.000.000,00 €

DATOS DE LICITACIÓN


DATOS DE ADJUDICACIÓN

NOMBRE ADJUDICATARIO: XXXXXXX GROUP ESPAÑA, S.L


NIF ADJUDICATARIO: B08272064


IMPORTE DE ADJUDICACIÓN SIN IVA: 702.479,34 €

% DE BAJA ADJUDICACIÓN: 15,00 %

IMPORTE DE ADJUDICACIÓN CON IVA: 850.000,00 €


En letra IMPORTE TOTAL: Ochocientos cincuenta mil euros




CONTRATO DE SUMINISTRO


EXPEDIENTE A2024/000646

OBJETO: SUMINISTRO DE UNA PLATAFORMA EN LA MODALIDAD DE SOFTWARE AS A SERVICE (SAAS) PARA LA PRESTACIÓN DEL SERVICIO DE TELEASISTENCIA EN LA COMUNIDAD XX XXXXXXXX Y LEÓN.


PROCEDIMIENTO DE ADJUDICACIÓN:


Abierto, con varios criterios de adjudicación, conforme a lo dispuesto en los artículos 131, 145 y 156 a 158 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (en adelante LCSP).


ADJUDICATARIO: LEGRAND GROUP ESPAÑA, S.L.

CIF: X00000000

DOMICILIO SOCIAL: Xxxxx Xxxxxx, 00 (00000) Xxxxxxxx xx Xxxxx (Xxxxxx)


PRECIO DEL CONTRATO:


El precio del contrato asciende a 850.000,00 € IVA incluido (B.I. 702.479,34 € más 147.520,66

€ de IVA al 21%).


APLICACIÓN PRESUPUESTARIA Y ANUALIDADES:


ANUALIDAD

APLICACIÓN

PRESUPUESTARIA

ADJUDICACION

(SIN IVA)

IVA (21%)

IMPORTE DE

ADJUDICACIÓN

2024

0921/G231B01/64500/0

175.619,84 €

36.880,16 €

212.500,00 €

2025

0921/G231B01/64500/0

175.619,84 €

36.880,16 €

212.500,00 €

2026

0921/G231B01/64500/0

175.619,83 €

36.880,17 €

212.500,00 €

2027

0921/G231B01/64500/0

175.619,83 €

36.880,17 €

212.500,00 €

TOTAL


702.479,34 €

147.520,66 €

850.000,00 €


PLAZO DE EJECUCIÓN: El plazo total de ejecución del contrato será de 42 meses, a contar desde el día 1 de julio de 2024. No obstante, aunque ello suponga una duración inferior a los 42 meses, el contrato finalizará en todo caso, el 31 de diciembre de 2027.


Dadas las características del suministro, no se admiten prórrogas.


REUNIDOS EN VALLADOLID,


DE UNA PARTE, Dña. Xxxxxxxxx Xxxxxxx Xxxxxx, Gerente de Servicios Sociales, nombrada por Acuerdo 82/2023, de 00 xx xxxxxxx, xx xx Xxxxx xx Xxxxxxxx x Xxxx (XXXXX xx 207 de 27 de octubre), en virtud de las competencias que le atribuye el artículo 2 del Decreto 8/2021, de 25 xx xxxxx, de desconcentración de competencias, en materia de contratación, en el ámbito de la Gerencia de Servicios Sociales xx Xxxxxxxx y León.


DE OTRA PARTE, D. Xxxxxx Xxxxx Xxxxxx, con DNI ***8223**, actuando en nombre y representación xx XXXXXXX GROUP ESPAÑA, S.L., según se acredita en los datos de la Escritura Pública de Elevación a público de acuerdos sociales, de asignación de funciones y otorgamiento de poderes, otorgada ante el xxxxxxx xxx Xxxxxxx Colegio Notarial de Madrid,

D. Xxxx Xxxxx Xxxxx Xxxxxxxxx, con fecha 20 de septiembre de 2019, bajo el nº 2670 de su protocolo.


La capacidad del adjudicatario resulta del objeto social detallado en la escritura pública anteriormente mencionada.


Ambas partes se reconocen competencia y capacidad, respectivamente, para formalizar el presente contrato administrativo.


ANTECEDENTES


PRIMERO.- El expediente de contratación fue promovido por el Servicio de Informática de la Gerencia de Servicios Sociales.


SEGUNDO.- El certificado de reserva de crédito anticipado (RT) fue expedido con fecha 28 de noviembre de 2023, con cargo a las siguientes aplicaciones presupuestarias:


ANUALIDAD

APLICACIÓN PRESUPUESTARIA

PRESUPUESTO SIN IVA

IVA 21%

PRESUPUESTO TOTAL

2024

G/231B01/64500/0

206.611,57 €

43.388,43 €

250.000,00 €

2025

G/231B01/64500/0

206.611,57 €

43.388,43 €

250.000,00 ®

2026

G/231B01/64500/0

206.611,57 €

43.388,43 €

250.000,00 €

2027

G/231B01/64500/0

206.611,57 €

43.388,43 €

250.000,00 €


TOTAL

826.446,28 €

173.553,72 €

1.000.000,00 €


Realizándose la fiscalización previa del gasto por la Intervención Delegada de la Gerencia de Servicios Sociales el día 27 de diciembre de 2023, por un presupuesto total de 1.000.000,00

€.


TERCERO.- La aprobación del expediente de contratación y del gasto derivado del mismo fue realizada por la Gerente de Servicios Sociales xx Xxxxxxxx y León el 28 de diciembre de 2023.


CUARTO.- Por Resolución de 19 de enero de 2024, de la Gerente de Servicios Sociales, y al tratarse de un expediente de tramitación económica anticipada, se acuerda la continuación del expediente de contratación hasta su finalización, y la incorporación al expediente de los documentos contables RC que acreditan la existencia de crédito adecuado y suficiente para


la adquisición, en firme, de los compromisos que deriven de la correspondiente adjudicación.


QUINTO.- La adjudicación del contrato fue acordada por Resolución de la Presidenta del Consejo de Administración de la Gerencia de Servicios Sociales, con fecha 11 xx xxxxx de 2024.


CLÁUSULAS


PRIMERA.- El objeto de este contrato es el suministro de una plataforma en la modalidad de “Software as a service” (SAAS), para la prestación del servicio de teleasistencia en la Comunidad xx Xxxxxxxx y León.


El contrato se ejecutará con estricta sujeción a lo establecido en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas aprobados por el órgano de contratación, así como a las condiciones expresadas en la oferta de la empresa adjudicataria, que serán parte integrante del contrato a efectos de su exigibilidad. Concretamente el adjudicatario en su oferta se compromete a:


-la puesta en marcha en producción de la plataforma en un plazo de 10 días naturales desde la firma del contrato.


-aporta una mejora en la calidad del entorno de seguridad exigido en el pliego de prescripciones técnicas de acuerdo con el ENS, al disponer de los siguientes Certificados:


●Certificado de que el diseño, desarrollo e implementación de la solución software está certificada en el ENS nivel alto.

●Certificado de que la plataforma en nube donde se aloje la solución software está certificada en el ENS nivel alto.


SEGUNDA.- El precio del contrato asciende a las cantidades referidas en el encabezamiento de este documento y será financiado con cargo a las anualidades y aplicaciones presupuestarias allí indicadas.


TERCERA.- El abono del precio del contrato se realizará mediante pagos parciales, con periodicidad mensual, mediante transferencia bancaria a la cuenta del contratista, previa presentación de la correspondiente factura. El importe de cada mensualidad será:


-En el año 2024 se abonará el 25% del importe de adjudicación, distribuido en partes iguales entre las mensualidades que se ejecuten en el año 2024 con el fin de cubrir el coste de la puesta en producción de la plataforma.


-En los años 2025, 2026 y 2027, pagos mensuales, por la cantidad resultante de dividir entre 36 meses el importe de la adjudicación, una vez descontado el importe abonado en el año 2024.


Para la realización de los pagos se exigirá el certificado de conformidad emitido por el Jefe del Servicio de Informática, responsable del contrato, que acredite la correcta ejecución de la prestación.


El adjudicatario está obligado a facturar electrónicamente, debiendo consignar en la factura que emita el código del contrato del que dicha factura deriva, en cualquiera de estas dos etiquetas: 3.1.6.1.5 Receiver Contract Reference/3.1.6.1.7 Receiver Transaction Reference.


Las facturas deberán cumplir todos los requisitos que reglamentariamente estén establecidos para las mismas, conforme con lo establecido en el Reglamento por el que se regulan las obligaciones de facturación, aprobado por el Real Decreto 1619/2012, de 30 de noviembre, con las menciones indicadas en la Disposición adicional trigésima segunda de la LCSP. A estos efectos, el órgano administrativo con competencias en materia de contabilidad pública, el órgano gestor, y la unidad tramitadora del contrato son los siguientes:


CÓDIGOS DIR3

CODIGO OFICINA CONTABLE (OC)

A07008921 Intervención Delegada Consejería de Familia e Igualdad de Oportunidades.

CODIGO ORGANO GESTOR (OG)

A07008911 Gerencia de Servicios Sociales xx Xxxxxxxx y León.

CODIGO UNIDAD TRAMITADORA (UT)

X00000000 Servicio de Administración Económica.


CUARTA.- El plazo de ejecución del contrato será de 42 meses, a contar desde el día 1 de julio de 2024 y finalizará, en todo caso, el 31 de diciembre de 2027.


Se establece un plazo parcial de 60 días naturales desde la firma del contrato, en el que el adjudicatario deberá haber ejecutado las tareas que se describen en el apartado 4 del PPT para el despliegue, configuración y puesta en marcha de la plataforma.


El contrato no será prorrogado.


QUINTA.- El contratista deberá entregar el suministro en las condiciones establecidas en el PPT.


SEXTA.- De acuerdo con lo dispuesto en la cláusula 39 del PCAP, el plazo de garantía de los bienes objeto del suministro será de un año, a contar desde la fecha de expedición del certificado que acredite la correcta ejecución del contrato.


Durante este plazo, la garantía definitiva responderá de la inexistencia de vicios o defectos en los bienes suministrados, según lo señalado e el artículo 110 e) de la LCSP.


Si durante el plazo de garantía se acreditase la existencia de vicios o defectos en los bienes suministrados, la Administración tendrá derecho a reclamar del contratista la reposición de los que resulten inadecuados o la reparación de estaos si fuese suficiente.


Si el órgano de contratación estimase, durante el plazo de garantía, que los bienes entregados no son aptos para el fin pretendido, como consecuencia de los vicios o defectos observados en ellos, siempre que estos vicios o defectos fuesen imputables al contratista y exista la presunción de que la reposición o reparación de los bienes no serán suficientes para lograr aquel fin, podrá, antes de finalizar el plazo de garantía, rechazar los bienes dejándolos de cuenta del contratista, quedando la Administración exenta de la obligación del pago, o si hubiese efectuado éste, la Administración tendrá derecho a la recuperación del precio satisfecho.


Terminado el plazo de garantía sin que la Administración hubiera formalizado alguno de los reparos o la denuncia a que se refieren los apartados 1 y 3 del artículo 305 de la LCSP, el contratista quedará exento de responsabilidad por razón de los bienes suministrados.


SÉPTIMA.- En este contrato no se revisarán los precios, de acuerdo con lo dispuesto en el artículo 103 de la LCSP y en el Real Decreto 55/2017, de 3 de febrero, por el que se desarrolla la Ley 2/2015, de 30 xx xxxxx, de desindexación de la economía española.


OCTAVA.- Para responder del cumplimiento de las obligaciones contraídas con la firma de este contrato, el adjudicatario ha constituido una garantía definitiva, mediante aval bancario, ante la Caja General de Depósitos xx Xxxxxxxx y León, a favor de la Gerencia de Servicios Sociales, por importe de 35.123,97 € (5% del presupuesto base de licitación, excluido el Impuesto sobre el Valor Añadido) según se acredita mediante la carta de pago que se incorpora al expediente.


NOVENA.- El adjudicatario presta su conformidad al Pliego de Cláusulas Administrativas Particulares y al de Prescripciones Técnica que rigen esta contratación, quedando incorporados ambos documentos como parte integrante del contrato. También tendrá carácter contractual la oferta presentada por el adjudicatario.


DÉCIMA.- Son causas de resolución del contrato las previstas en los artículos 211 y 306 de la LCSP, además de las establecidas en la cláusula 38 xxx Xxxxxx de Cláusulas Administrativas Particulares.


DÉCIMOPRIMERA.- No están previstas modificaciones de este contrato, por lo que éstas sólo serán posibles en los supuestos, con los requisitos y exigencias que se establecen en el artículo 205 de la LCSP.


DÉCIMOSEGUNDA.- El contratista, y en su caso, el subcontratista, está obligado a guardar sigilo respecto de los datos y antecedentes que, no siendo públicos o notorios, estén relacionados con el objeto del contrato de los que tenga conocimiento con ocasión de la ejecución del contrato. Esta obligación de sigilo subsistirá tras la finalización del contrato. Asimismo, deben informar convenientemente a sus empleados de la obligación de no hacer


públicos, ceder o enajenar cuantos datos e informaciones conozcan a resultas del cumplimiento del contrato.


DÉCIMOTERCERA.- El presente contrato tendrá carácter administrativo a todos los efectos y está sometido a la legislación vigente en materia de contratos del sector público, así como a la normativa nacional y de la Unión Europea en materia de protección de datos.


Será competencia de la Jurisdicción Contencioso-Administrativa el conocimiento de cualquier cuestión litigiosa que pudiera surgir respecto de su cumplimiento, interpretación, efectos y resolución.


Y para que conste, y en prueba de conformidad por ambas partes se firma digitalmente el presente documento en el lugar y fecha indicados.


ADENDA


CLÁUSULAS PARA EL ENCARGADO DEL TRATAMIENTO DE DATOS (EMPRESA CONTRATADA) DEL CONTRATO DE SUMINISTRO DE UNA PLATAFORMA EN LA MODALIDAD DE SOFTWARE AS A SERVICE (SAAS), PARA LA PRESTACIÓN DEL SERVICIO DE LA TELEASISTENCIA EN LA COMUNIDAD XX XXXXXXXX Y LEÓN. EXPEDIENTE A2024/000646


En Valladolid,


1. Objeto del encargo del tratamiento


Mediante las presentes cláusulas se habilita a la empresa LEGRAND GROUP ESPAÑA,

S.L. CIF: X00000000, encargada del tratamiento, para tratar por cuenta de la Gerencia de Servicios Sociales, responsable del tratamiento, los datos de carácter personal necesarios para ejecutar el presente contrato de suministro de una plataforma en la modalidad de software as a service (SAAS), para la prestación del servicio de teleasistencia en la Comunidad xx Xxxxxxxx y León, expediente: A2024/000646, contrato que se firma el mismo día que la presente adenda.

El tratamiento comprende las actuaciones necesarias para desarrollar los servicios de despliegue, configuración y puesta en marcha, contratados por el responsable del tratamiento y que llevará a cabo por parte del encargado del tratamiento:

Instalación y configuración de todos los componentes software de la plataforma, incluyendo la centralita software para la recepción de alarmas y llamadas y la conexión con el sistema de provisión del servicio de Teleasistencia de la GSS.

Configuración de los sistemas de monitorización de la plataforma para la detección precoz de incidencias y resolución rápida de potenciales problemas.

Diseño y puesta en marcha de un servicio de soporte 24h, al que puedan dirigirse telefónicamente y por otros medios, los operadores de la prestadora de servicio de Teleasistencia y el equipo de gestión de la seguridad conforme a la normativa vigente.


Puesta en marcha de un sistema de gestión de incidencias para su seguimiento desde su detección hasta su cierre.


Concreción de los tratamientos a realizar por parte de la empresa:


Recogida Registro


Estructuración Modificación


Conservación Extracción


Consulta Comunicación por transmisión


Difusión Interconexión


Cotejo Limitación


Supresión Destrucción


Comunicación Otros:



2. Identificación de la información afectada


Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este contrato, la Gerencia de Servicios Sociales, responsable del tratamiento, pone a disposición de la empresa XXXXXXX GROUP ESPAÑA, S.L, encargada del tratamiento, la información necesaria para la adecuada prestación del servicio que se describe a continuación:

Identificación de la persona: nombre y apellidos,

fecha de nacimiento,

sexo,

situación de convivencia,

Grado de Dependencia,

miembros de la unidad de convivencia,

terminal,


DNI

tipología de usuarios.

Ubicación territorial: Provincia, CCLL, CEAS, Municipio, Localidad, Dirección, C.P.


3. Duración


El presente acuerdo tiene una duración coincidente con el plazo de ejecución del contrato, esto es, 42 meses desde 1 de julio de 2024 o desde el día siguiente al de su formalización, si fuese posterior y finalizará el día 31 de diciembre de 2027, sin perjuicio de las responsabilidades dimanantes del mismo (por vulneración de las previsiones del RGPD por el encargado del tratamiento) y la confidencialidad a la que el encargado de tratamiento y sus trabajadores se encuentran sujetos.

Una vez finalice el presente contrato, el encargado del tratamiento debe suprimir los datos personales y suprimir cualquier copia que esté en su poder. Cuando exista una previsión legal que obligue a su conservación, deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.


4. Obligaciones del encargado del tratamiento


El encargado del tratamiento y todo su personal se obliga a:


a. Utilizar los datos personales objeto de tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.


Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

c. Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable que contenga:


- El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

- Las categorías de tratamientos efectuados de cada responsable.


- Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

- La seudoanimización y el cifrado de datos personales.

- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

- El proceso de verificación, evaluación y valoraciones regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

e. Si se efectuara una subcontratación del servicio y ésta conlleva el tratamiento de datos de carácter personal, el encargado debe comunicarlo por escrito al responsable con un plazo de antelación de, al menos, 7 días, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable lo autoriza expresamente. Si no hubiera contestación por parte del responsable en un plazo de un mes a contar desde la comunicación por parte del encargado, se entenderá como denegada.

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En


el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

Tanto el encargado como el subencargado del tratamiento, deben mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

f. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

g. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

h. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

i. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:


1. Acceso, rectificación, supresión y oposición.


2. Limitación del tratamiento.


3. Portabilidad de datos.


4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

A tales efectos, comunicará al responsable del tratamiento inmediatamente, y sin dilación indebida, cualquier requerimiento que realice un interesado en relación con el ejercicio de sus derechos o cualquier otra cuestión relativa a la protección de datos.

j. Derecho de información.


Será el Responsable quién lleve a cabo la recogida de datos, por lo tanto corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos. Sin embargo, en caso de que el tratamiento incluya cualquier recogida de datos personales en nombre y por cuenta del responsable del tratamiento, el encargado del


tratamiento deberá seguir los procedimientos e instrucciones que reciba del responsable del tratamiento, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento expreso de las personas afectadas.

k. Notificación de violaciones de la seguridad de los datos.


El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y en cualquier caso antes del plazo máximo de dos días y a través de notificación escrita, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:


a. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

l. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

m. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.


n. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

ñ. No revelar, transferir, ceder o de otra forma comunicar los datos personales responsabilidad del responsable del tratamiento, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del responsable del tratamiento. Así como, a que, salvo que se autorice expresamente por el responsable del tratamiento, los datos se deberán tratar dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en el contrato de encargo, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

o. El servicio que comprende las actuaciones para el suministro de una plataforma en la modalidad de software as a service (SAAS), para la prestación del servicio de teleasistencia en la Comunidad xx Xxxxxxxx y León, de titularidad de la Gerencia de Servicios Sociales xx Xxxxxxxx y León, así como las demás prestaciones y servicios que se especifican en el Pliego de Prescripciones Técnicas del contrato (PPT), deberá cumplir el Real Decreto 311/2022, de 3 xx xxxx, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) en el ámbito de la Administración Electrónica en la categoría establecida para este servicio.

En cumplimiento de normativa ENS de la Gerencia de Servicios Sociales, la empresa contratada deberá, en todo momento, cumplir la normativa y políticas de seguridad vigentes para la Administración de la Comunidad xx Xxxxxxxx y León.

Todo el personal de la empresa contratada del servicio conocerá la normativa y los procedimientos establecidos por la Junta xx Xxxxxxxx y León, y en concreto por la Gerencia de Servicios Sociales para este Servicio:

· Política de Seguridad y protección de datos de la Junta xx Xxxxxxxx y León


· Procedimiento de Gestión de ciberincidentes de JCYL.


· Procedimiento de Gestión de ciberincidentes de la Gerencia de Servicios Sociales, en su caso.

p. Cumplimiento normativo de la empresa proveedora - ENS.


En base al artículo 30 del Real Decreto por el que se regula el ENS en el ámbito de la Administración Electrónica y la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el ENS, donde se describe la obligación de exigir a los operadores del sector privado que presten servicios o provean soluciones a las entidades públicas, de conformidad con el ENS, la Gerencia de Servicios Sociales considera necesario que la empresa prestadora del servicio deberá estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el ENS en la categoría establecida para el tratamiento concreto, en el momento de la firma del contrato.

La empresa contratada indicará en documento formal las figuras responsables en protección de datos y en el Esquema Nacional de Seguridad:

o Delegado de Protección de Datos


o Responsable del Servicio


o Responsable de Seguridad


o Responsable de Tratamiento


o Responsable de la Información


o Responsable del Sistema


q. Gestión de riesgos.


La empresa contratada del suministro deberá realizar un análisis de riesgos para el servicio objeto del contrato. Dicho análisis deberá ser realizado con las herramientas oficiales previstas.

En este análisis de riesgos se evaluarán e incluirán las medidas de seguridad indicadas en el Anexo II del Esquema Nacional de Seguridad para la categoría indicada para


minimizar los riesgos detectados. Si la empresa contratada no está en posesión de la Certificación de Conformidad del ENS o se encuentra en proceso de su obtención, se incluirá, igualmente, referencia precisa, documentada y acreditativa de que son los medios más idóneos para la prestación del servicio.

r. Designar un delegado de protección de datos si fuera obligatorio y comunicar su identidad y datos de contacto al responsable. Si voluntariamente lo hubiera designado la empresa, deberá asimismo comunicar su identidad y datos de contacto al responsable.

s. Destino de los datos:


Devolver al responsable del tratamiento los datos de carácter personal y si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

t. No destinar, aplicar o utilizar los datos personales responsabilidad del responsable del tratamiento con fin distinto del indicado en el presente contrato o de cualquier otra forma que suponga un incumplimiento de las instrucciones del responsable del tratamiento. Además, el encargado del tratamiento no podrá tratar los datos como responsable del tratamiento para fines adicionales, salvo que haya obtenido la aprobación, con carácter previo, del responsable del tratamiento. Y en su caso, asumir la condición de responsable del tratamiento cuando se destinen los datos a otra finalidad distinta del cumplimiento del objeto del contrato, los comunique o los utilice incumpliendo las estipulaciones del contrato o las obligaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido personalmente.


5. Obligaciones del responsable del tratamiento


Corresponde al responsable del tratamiento:


a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.

b) Realizar las consultas previas que corresponda.


c) Cuando el tratamiento incluya la recogida de datos personales en nombre y por cuenta del Responsable del Tratamiento, establecerá los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento de los afectados

d) Cuando el tratamiento no incluya la recogida de datos personales en nombre y por cuenta del responsable del tratamiento, garantizará que los datos personales han sido obtenidos y tratados cumpliendo con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

e) Velar de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

f) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.


6. Subencargos del Encargado y transferencias internacionales de datos


Datos de los subencargados

Ubicación del almacenamiento

/del acceso previsto a los datos personales

¿Tiene lugar algún tratamiento o acceso a datos personales en terceros países?

Finalidad de la contratación y categorías de los datos personales procesados

En caso de una transferencia internacional de datos, confirmación de que la transferencia ofrece las garantías correspondientes (Decisión Comisión, cláusulas tipo, autorización autoridad de control, otras garantías…)

Nombre: EAIP INNOVA SL


Dirección: Xxxxx xxx Xxxxxxxx xx 0 X-0, 00000 Xxxxxxx xx Xxxxxxx (Xxxxxx)


Datos de contacto del delegado de Protección de Datos, en su caso: dpo@eaipinnova. com

España

No

Suministro, soporte y mantenimient o del Sistema de gestión de teleasistencia.


Categoría necesaria para la prestación del servicio.

N/A, ya que no existe transferencia internacional de datos

Nombre: AWS (Amazon Web Services, Inc)


Dirección: 00 Xxxxxx Xxxx X. Xxxxxxx, X-0000 Xxxxxxxxxx


Datos de contacto del Delegado de Protección de Datos, en su caso: ( Amazon Web Services EMEA SARL Responsable del tratamiento de información personal y representante autorizado de Amazon Web Services, Inc. en el EEE. )

Ireland

No

Servicios de cloud


CMP

N/A, ya que no existe transferencia internacional de datos


Nombre: Hipercom Cloud Service Providers S.L.


Dirección: Parque empresarial La Finca, P.º Club Deportivo, 1, 28223 Xxxxxxx xx Xxxxxxx, Madrid


Datos de contacto del Delegado de Protección de Datos, en su caso: miguelr@hiperco x.xx

España

No

Provisión de soporte y mantenimient o de plataformas de servicios

N/A, ya que no existe transferencia internacional de datos

Nombre: Microsoft

Azure (Microsoft Corporation)

Xxxx Europe

No

Provisión de soporte y mantenimient o de plataformas de servicios

N/A, ya que no existe transferencia internacional de datos



Y para que conste y en prueba de conformidad por ambas partes, se firma el presente documento contractual en soporte digital.

Document Metadata

Filed: June 3rd, 2024