REUNIDOS
CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE UN TERCERO (Art. 28 RGPD)
En Madrid, a 8 xx xxxx de 2018.
REUNIDOS
DE UNA PARTE
D/Dña. con Documento Nacional de Identidad nº _,
domiciliado a estos efectos en en calidad de administrador de
. (en lo sucesivo, “EL RESPONSABLE”) con CIF , en virtud de los poderes concedidos a su favor mediante escritura pública otorgada ante Notario.
DE OTRA PARTE
X. XXXXXX XXXXX XXXXXXX XXXX con Documento Nacional de Identidad nº 00000000X, domiciliado a estos efectos en xxxxx Xxxxxx Xxxxx, 000 0x X, 00000 XXXXXX en calidad de representante legal de LA CONSULTA ZINGULAR, S.L., (en lo sucesivo “EL ENCARGADO”) con CIF X00000000, en virtud de los poderes concedidos a su favor mediante escritura pública otorgada ante Notario.
Las partes garantizan la calidad en la que intervienen, tener plena capacidad para contratar y en el caso de representar a terceros, cada uno de los intervinientes asegura que el poder con el que actúa no ha sido revocado ni limitado, y que es bastante para obligar a sus representados en virtud de este contrato de acceso a datos, y a tal objeto:
M A N I F I E S T A N
I. Que EL RESPONSABLE es responsable del tratamiento de los datos de carácter personal en el marco del ejercicio de las actividades y desarrollo de su objeto social (en adelante, “LOS DATOS”).
II. Que EL ENCARGADO va a prestar Servicios de Publicidad y Marketing directamente a través de su personal o mediante el uso de la plataforma web xxx.xxxxxxx.xxx, (en adelante, la PLATAFORMA) consistentes en envíos publicitarios a través de Correo Postal, campañas SMS y campañas e-mailing (en adelante, los “Servicios”) a EL RESPONSABLE, para cuyos fines necesita acceder a LOS DATOS.
III. Que EL RESPONSABLE tiene acceso a la PLATAFORMA mediante claves de acceso proporcionadas voluntariamente por EL ENCARGADO.
IV. Que EL RESPONSABLE puede facilitar LOS DATOS a EL ENCARGADO mediante correo electrónico sin hacer uso de LA PLATAFORMA.
V. Que el acceso a LOS DATOS es necesario para la prestación de los servicios acordados entre EL RESPONSABLE y EL ENCARGADO y con el fin de proteger dichos datos de carácter personal y dar cumplimiento a lo establecido en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante “RGPD”), las partes celebran el presente contrato con sujeción a las siguientes,
ESTIPULACIONES
PRIMERA.- Objeto del contrato de encargo de tratamiento
El presente contrato tiene por objeto habilitar a EL ENCARGADO para tratar, por cuenta de EL RESPONSABLE, los datos de carácter personal necesarios para prestar los Servicios contratados, así como regular la forma y condiciones en las que se llevará a cabo dicho tratamiento, siempre de conformidad con el RGPD.
SEGUNDA.- Finalidad del tratamiento
La finalidad del tratamiento de LOS DATOS por parte de EL ENCARGADO, es la ejecución de las prestaciones derivadas de los Servicios de Publicidad y Marketing contratados por EL RESPONSABLE.
TERCERA.- Categorías de interesados y tipos de datos
EL ENCARGADO tendrá acceso a las siguientes categorías de interesados, así como a los siguientes tipos de datos, y cualquier otro que pudiera necesitar para el correcto desarrollo del servicio prestado a EL RESPONSABLE.
Clientes
• Datos de carácter identificativo personal: DNI/NIF, nombre y apellidos, e-mail, dirección, teléfono, fax y firma.
• Datos de carácter identificativo empresarial: CIF, nombre de la empresa, e-mail, dirección, teléfono, fax y firma.
CUARTA.- Obligaciones de EL RESPONSABLE
1.- Asumir todas las medidas y obligaciones que para los responsables del tratamiento se establezcan en el RGPD, frente a los interesados y frente a la AEPD, sin perjuicio de los compromisos de colaboración asumidos por EL ENCARGADO en este contrato, los cuales no suponen ni una delegación ni sustitución ni renuncia por parte de EL RESPONSABLE.
2.- Entregar a EL ENCARGADO o facilitar su acceso a los datos a los que se refiere la cláusula Tercera “Categorías de interesados y tipos de datos” de este documento y cualquier otro que pueda necesitar para la correcta prestación del Servicios.
3.- Realizar, si procede, una evaluación del impacto en la protección de datos personales. 4.- Realizar las consultas previas que corresponda.
5.- Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte de EL ENCARGADO.
6.- Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
7.- Comunicar a EL ENCARGADO antes del inicio de la recogida de los datos la redacción y el formato en que se deberá facilitar a los interesados la información sobre el tratamiento de sus datos, cuando corresponda de acuerdo con lo establecido en el punto 10 de la estipulación Quinta siguiente.
QUINTA.- Obligaciones de EL ENCARGADO EL ENCARGADO y todo su personal se obliga a:
1.- Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos con otros fines.
2.- Tratar los datos de acuerdo con las instrucciones de EL RESPONSABLE.
Si EL ENCARGADO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, EL ENCARGADO informará inmediatamente a EL RESPONSABLE.
3.- Cuando corresponda, de acuerdo con lo establecido en el artículo 30.2 del RGPD, llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de EL RESPONSABLE, que contenga:
a) El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del DPD.
b) Las categorías de tratamientos efectuados por cuenta de cada responsable.
c) En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
d) Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
- La seudoanimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa de
EL RESPONSABLE, en los supuestos legalmente admisibles.
EL ENCARGADO puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones de EL RESPONSABLE. En este caso, EL
RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si EL ENCARGADO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al EL RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
5.- Subcontratación
No subcontratar ninguna de las prestaciones que formen parte del objeto del Contrato de Servicio que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios de EL ENCARGADO.
Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito a EL RESPONSABLE, con una antelación mínima de [QUINCE DÍAS], indicando los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si EL RESPONSABLE no manifiesta su oposición en el plazo establecido.
El subcontratista, que también tendrá la condición de EL ENCARGADO, está obligado igualmente a cumplir las obligaciones establecidas en este documento para EL ENCARGADO y las instrucciones que dicte EL RESPONSABLE. Corresponde a EL ENCARGADO inicial, regular la nueva relación de forma que el nuevo encargado del tratamiento (o subencargado) quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad y resto de condiciones establecidas) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, EL ENCARGADO inicial seguirá siendo plenamente responsable ante EL RESPONSABLE en lo referente al cumplimiento de las obligaciones propias y del subencargado.
6.- Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
7.- Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente, manteniendo a disposición de EL RESPONSABLE la documentación acreditativa del cumplimiento de esta obligación.
8.- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
9.- Asistir a EL RESPONSABLE en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos, así como a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
En este sentido, cuando las personas afectadas ejerzan estos derechos ante EL ENCARGADO, éste debe comunicarlo por correo electrónico a la dirección que indique EL RESPONSABLE para ello. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
10.- Derecho de información
Corresponde a EL RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.
Cuando para la prestación de los Servicios corresponda a EL ENCARGADO llevar a cabo la recogida de los datos, éste facilitará a los interesados en el momento de la recogida la
información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información será la que EL RESPONSABLE determine y comunique a EL ENCARGADO antes del inicio de la recogida de los datos.
11.- Notificación de violaciones de la seguridad de los datos
EL ENCARGADO notificará a EL RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de cuarenta y ocho horas (48 h) y a través de medio que deje constancia de la comunicación las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
Si se dispone de ella se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
12.- Dar apoyo a EL RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
13.- Dar apoyo a EL RESPONSABLE en la realización de las consultas previas a la AEPD, cuando proceda.
14.- Poner a disposición de EL RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen EL RESPONSABLE u otro auditor autorizado por él.
15.- Implantar las medidas de seguridad establecidas en virtud del análisis de riesgos llevado a cabo por EL ENCARGADO en fecha 27 xx xxxxx de 2018, concretamente para (art.32 RGPD):
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Xxxxxxxxxxxx y cifrar los datos personales, en su caso.
16.- Designar, en su caso, un delegado de protección de datos y comunicar su identidad y datos de contacto a EL RESPONSABLE.
17.- Siguiendo las instrucciones que en su momento comunique EL RESPONSABLE, una vez finalizado el Contrato de Servicio, devolverá o destruirá los datos objeto del encargo de tratamiento.
A tales efectos, en caso en que proceda la devolución a EL RESPONSABLE, EL ENCARGADO los pondrá a su disposición devolviendo incluso, si procede, los soportes donde consten. La devolución, además, comportará, el borrado total de los datos existentes en los equipos informáticos utilizados por EL ENCARGADO.
En caso de que proceda la devolución a otro encargado de tratamiento designado por escrito por EL RESPONSABLE, serán entregados al tercero designado los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación. La devolución, además, comportará el borrado total de los datos existentes en los equipos informáticos utilizados por EL ENCARGADO.
Finalmente, en caso en que proceda la destrucción de los datos una vez cumplida la prestación, una vez destruidos, EL ENCARGADO certificará su destrucción por escrito y entregará el certificado a EL RESPONSABLE.
En cualquiera de los casos expuestos con independencia de cuál sea la instrucción que emane de EL RESPONSABLE y que EL ENCARGADO deba atender, en relación con la devolución al responsable, a otro encargado o la destrucción de los datos, en todos los casos será posible que EL ENCARGADO conserve una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación del Servicio.
SEXTA.- Duración
El presente acuerdo tiene la misma duración que el Contrato de Servicios del que deriva.
Una vez finalice el presente contrato, y siguiendo las instrucciones que EL RESPONSABLE indique, EL ENCARGADO suprimirá los datos personales objeto de tratamiento o, en su caso, los devolverá a EL RESPONSABLE o a EL ENCARGADO designado por aquél, suprimiendo cualquier copia que esté en su poder.
SÉPTIMA.- Coexistencia de normativas en vigor
Sin perjuicio de las obligaciones asumidas en el presente Contrato por cada una de las Partes y teniendo en cuenta la coexistencia de la normativa actualmente vigente en materia de protección de datos, constituida por el RGPD, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD (RLOPD), seguirán en vigor para las Partes las obligaciones derivadas del artículo 12 de la LOPD y disposiciones que lo desarrollan en el RLOPD previstas en el Contrato de Servicio formalizado entre las Partes o, en su caso, en el contrato o documento que corresponda, en tanto no se produzca la derogación de la normativa anterior al RGPD. Producida dicha derogación y, en todo caso, a partir del 25 xx xxxx de 2018, quedarán sin efecto cualesquiera estipulaciones que en relación con el objeto de este contrato hubieran sido adoptadas por las Partes con anterioridad a su formalización. En consecuencia, a partir de dicha fecha el presente contrato constituirá el acuerdo único entre las Partes en relación con su objeto y dejará sin efecto cualquier otra negociación, obligación, contrato o comunicación de cualquier naturaleza entre éstas, sobre el mismo objeto, ya sea verbal o por escrito, efectuada con anterioridad a la fecha en que se firme el mismo.
En el supuesto de que las partes designen un DPD, en el momento de la designación del mismo, se enviará un correo electrónico a la otra parte con los datos (teléfono y correo electrónico) de dicho DPD.
OCTAVA.- Datos incluidos en el presente contrato
De una parte:
Nombre del concesionario: CIF:
Dirección: CP:
Población: Teléfono: Email:
Delegado de Protección de Datos (DPD) del RESPONSABLE:
Nombre: Teléfono: Email:
De otra parte:
La Consulta Zingular, S.L. B85157550
Xxxxx Xxxxxx Xxxxx, 000 0x X, 00000 XXXXXX 915936927
Delegado de Protección de Datos (DPD) del ENCARGADO:
PROFESSIONAL GROUP CONVERSIA SLU,
P.I. POLINGESA Xxxx. Xxx Xxxx, 000 00000 Xxxxxxxxxx xx xx Xxxxx (Xxxxxx) 902877192
Finalidades del tratamiento: Ambas partes se informan de que sus datos se podrán utilizar para gestionar la relación negocial y/o contractual y el cumplimiento de obligaciones legales y contractuales.
Legitimación: Ambas partes se informan de que la base legal para el tratamiento de sus datos es la ejecución de la relación negocial y/o contractual, según los términos y condiciones que constan en el contrato, y el cumplimiento de obligaciones legales y contractuales. Todos los datos solicitados son de obligada cumplimentación para ambas partes, si alguna parte no los rellena, la otra parte no podrá seguir adelante con el contrato de servicios.
Plazos/criterios de conservación de los datos: Ambas partes se informan de que sus datos personales se conservarán mientras se mantenga la relación negocial y/o contractual, en cuyo caso, los datos se suprimirán, entendiendo supresión como bloqueo de los mismos, en este sentido, los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
Destinatarios: Ambas partes se informan de que no se prevé llevar a cabo comunicaciones de datos a terceros, salvo obligación legal. Ni se van a llevar a cabo transferencias de datos a terceros países sitos fuera de la Unión Europea.
Asimismo, La Consulta Zingular informa de que si desea ejercitar los derechos que le asisten de acceso, rectificación, supresión, portabilidad de sus datos, así como la limitación u oposición a su tratamiento, le rogamos remita un escrito dirigido a La Consulta Zingular, a la dirección
indicada anteriormente, o al correo electrónico xxxxxxxxxxxxxx@xxxxxxxx.xx con la referencia Protección de Datos Proveedores, adjuntando copia de su DNI o documento identificativo equivalente.
Reclamación: En todo caso, usted podrá, si entiende que sus derechos han sido vulnerados, interponer una reclamación ante la Agencia Española a de Protección de Datos, con domicilio en xxxxx Xxxxx Xxxx 0, 00000 xx Xxxxxx, teléfono 000 000 000, y sitio web xxx.xxxx.xx.
NOVENA- Fuero y legislación aplicable
Las partes acuerdan que la legislación aplicable al presente contrato es la española, y se someten, para la resolución de cuantos litigios pudieran derivarse del mismo, a los Juzgados y Tribunales de Madrid Capital, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.
EL RESPONSABLE EL ENCARGADO
Fdo. Fdo.