CLÁUSULA GENÉRICA PARA PLIEGOS DE CONTRATACIÓN ADMINISTRATIVA.

CLÁUSULA GENÉRICA PARA PLIEGOS DE CONTRATACIÓN ADMINISTRATIVA.

DEBER DE CUSTODIA Y CONFIDENCIALIDAD. OBLIGACIÓN DE GUARDAR SIGILO, PROTECCIÓN DE DATOS Y TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL.

1.- Custodia y confidencialidad.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto del contrato, el responsable del tratamiento pone a disposición del contratista la información necesaria para la ejecución del contrato. Tal información sólo podrá tener como destinatarios a los sujetos que lo requieran para la correcta ejecución de la prestación, sin perjuicio de la estricta afectación de la información a los fines que la justifican y para los que se solicite.

En cualquier caso, tratará como reservada toda la información que le sea facilitada por la Diputación, que tendrá el carácter de confidencial en los términos del artículo 133 de la LCSP, sin que pueda cederla a terceros. Conforme al apartado 2 del mismo artículo, el contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato a la que se le hubiese dado el referido carácter en los pliegos o en el contrato, o que por su propia naturaleza deba ser tratada como tal. Este deber se mantendrá durante un plazo de cinco años desde el conocimiento de esa información.

El contratista se obliga a custodiar toda la documentación que le sea entregada en depósito para la ejecución del contrato, no pudiendo utilizarse para fines distintos y siendo el único responsable de cualquier utilización indebida, pérdida o deterioro, o circunstancia análoga que se produzca, debiendo en ese caso indemnizar a la Diputación xx Xxxxxxx por daños y perjuicios, que serán valorados por los servicios técnicos. No se recepcionará el trabajo realizado si no se acompaña de la documentación que la Diputación haya facilitado al contratista. Asimismo, custodiará la documentación generada, en su caso.

Asimismo, es obligación del contratista guardar sigilo respecto a los datos o antecedentes que, no siendo públicos o notorios, estén relacionados con el objeto del contrato, de los que tenga conocimiento con ocasión del mismo.

2.- Tratamiento de datos de carácter personal.

En tanto a la información de carácter personal, y de conformidad con la Disposición adicional 25ª LCSP, el control y seguridad de los datos suministrados y el posterior tratamiento por los sujetos que lo requieran para la ejecución del contrato, se regirá por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPD), así como a las disposiciones reglamentarias de desarrollo que en su caso se dicten.

El licitador que resulte adjudicatario queda obligado a respectar la normativa precitada de acuerdo al artículo 122.2 LCSP.

Cuando la ejecución del contrato implique acceso a información de carácter personal se otorgará al adjudicatario la condición de encargado de tratamiento, por lo que deberán observarse las prescripciones específicas de los artículos 28 del RGPD y 33 del LOPD.

Si la ejecución del contrato requiere de tratamientos de información de carácter personal diferentes al acceso por cuenta del responsable, el adjudicatario, que también se considerará encargado de tratamiento, además de observar lo dispuesto en los artículos 28 del RGPD y 33 del LOPD, deberá presentar antes de la formalización del contrato una declaración en la que

informe de dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos, así como se obliga a comunicar cualquier cambio respecto a esta información que se produzca a lo largo de la vida del contrato.

Se podrán establecer los siguientes controles sobre la custodia y la utilización de la información suministrada u obtenida al amparo del contrato suscrito:

a) Control interno por parte del contratista sobre la información, respecto de la custodia y utilización que de los datos recibidos que realice el personal a su servicio.

b) Control por parte de la Diputación xx Xxxxxxx, que podrá aplicar los controles que ella misma determine derivados de su sistema de gestión de la seguridad de la información.

Tales controles podrán tener lugar en cualquier momento durante la ejecución del contrato al objeto de verificar el cumplimiento de las obligaciones que impone la normativa, constituyendo causa de resolución su incumplimiento. Podrán incluir el correspondiente análisis de riesgo de las medidas técnicas y organizativas implantadas para garantizar el nivel de seguridad adecuado al riesgo en los tratamientos de datos. Dichas medidas podrán ser acreditadas alternativamente por el correspondiente sello, certificación o estándar.

El encargado de tratamiento y todo su personal, en particular se obligan a:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este contrato. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si la encargada del tratamiento considera que alguna de las instrucciones infringe el RGPD, la LOPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, la encargada informará inmediatamente al responsable.

c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

4. Una descripción general de las medidas técnicas y organizativas de seguridad adoptadas.

d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado, éste debe comunicarlo por correo electrónico a la dirección xxxxxxxxxxxxxxxxx@xxxxxxxxxxx.xx. La comunicación debe hacerse

de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado. En caso de no determinarse tal cuestión en los diferentes anexos al contrato se considerará que los datos deben ser destruidos.

El encargado podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

3.- Subcontratación.

El contratista encargado del tratamiento no subcontratará ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales. En caso de ser necesario, los licitadores deberán indicarlo en su oferta, definiendo si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, así como el nombre o el perfil empresarial de los subcontratistas.

Antes de proceder a la subcontratación el encargado debe comunicarlo por escrito al responsable, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si la Diputación no manifiesta su oposición en el plazo de 60 días. Tal obligación es extensiva a los supuestos en que se produzcan cambios en la subcontratación.

La vulneración de tal obligación se considera una infracción grave de conformidad con lo establecido en el artículo 73.l) de la LOPD

.

El subcontratista, que también tiene la condición de encargado, está obligado igualmente a cumplir las obligaciones establecidas en este pliego para el encargado y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

4.- Condiciones especiales de ejecución y tratamiento de datos.

Si se produjera la cesión de datos al adjudicatario, el mismo quedará obligado a someterse a la normativa nacional y de la Unión Europea en materia de protección de datos, considerando tal obligación de carácter contractual esencial de conformidad con lo dispuesto en la letra f) del apartado 1 del artículo 211.

La finalidad del tratamiento de los datos cedidos se recogerá en el correspondiente anexo al contrato, sin que puedan destinarse a finalidad distinta.

La finalización de la prestación del servicio comportará la destrucción de estos datos, pudiendo conservarlos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

5.- Violaciones de seguridad.

En caso de producirse una violación de la seguridad de los datos personales a su cargo, el encargado del tratamiento la notificará al responsable, sin dilación indebida, y en cualquier

caso antes del plazo máximo de 24h, a través de la dirección electrónica xxxxxxxxxxxxxxxxx@xxxxxxxxxxx.xx, juntamente con toda la información relevante para la documentación y comunicación de la incidencia, todo ello de conformidad con las prescripciones de la normativa en materia de protección de datos.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

6.- Obligaciones del encargado de tratamiento.

Las anteriores obligaciones se extienden en cualquier fase del tratamiento que de esos datos pudiera realizarse y subsistirán aún después de terminados los mismos.