Contrato de corresponsabilidad de tratamiento de datos de carácter personal (Arts. 26- 28 del Reglamento (UE) 2016/670 General de Protección de Datos)
Contrato de corresponsabilidad de tratamiento de datos de carácter personal
(Arts. 26- 28 del Reglamento (UE) 2016/670 General de Protección de Datos)
En __________ a _____ de _________ de 2019
Reunidos
De una parte, Don/ña ___________________________, con DNI _________, en nombre y representación del club………….……………………………… con domicilio en ……………………………………………………………………..y CIF ……………………..
Y de otra parte, Xxx XXXX XXXXXXX XXXX XXXX, con DN 10576224L, en nombre y representación de FEDERACIÓN DE CICLISMO DEL PRINCIPADO XX XXXXXXXX con domicilio en la X/ Xxxxxxxx Xxxxxx Xxxxx 0 xxxx, Xxxxxxx, Xxxxx XX 00000 y CIF X00000000
Ambas partes se reconocen mutuamente la capacidad legal bastante para suscribir este contrato y quedar obligadas en la representación en que respectivamente actúan. A tal fin,
Exponen
I. Que ambas partes se encuentran actualmente vinculadas por una relación de servicios de gestión y coordinación deportiva federada en el ámbito de la práctica deportiva en la modalidad de ciclismo.
II. Que, a fin de legitimar y regularizar el tratamiento de los datos necesarios para los servicios referidos, y en cumplimiento de las obligaciones definidas por la legislación en Protección de Datos de Carácter Personal, especialmente el REGLAMENTO EU 2016/679, ambas partes acuerdan libremente regular el tratamiento de datos personales requeridos para la práctica deportiva anteriormente citada, con sujeción a las siguientes
Estipulaciones
1. Objeto del encargo
Mediante las presentes cláusulas se habilitan las partes como CORRESPONSABLES en el tratamiento de los datos de carácter personal necesarios para que pueda prestar los siguientes servicios, tanto en formato documental, como vinculados a plataformas informáticas:
- Módulo de licencias.
- Módulo de inscripciones de personas en pruebas.
- Módulo de email masivos.
- Base de datos de asociados de clubes.
- Base de Datos personales de organizadores y gestores de pruebas deportivas.
El tratamiento de datos personales incluirá los siguientes aspectos:
Recogida
Registro
Estructuración
Modificación
Conservación
Extracción
Consulta
Comunicación
Difusión
Interconexión
Cotejo
Limitación
Supresión
Destrucción
Conservación
Comunicación por transmisión
Y cualquier otro que sea necesario y proporcionado.
2. Garantía de obtención legítima de datos obtenidos.
Los CORRESPONSABLES, en base a sus propias actuaciones, garantizan que los datos cedidos/comunicados han sido obtenidos legítimamente y que los interesados han sido informados y se ha solicitado su expreso consentimiento para su tratamiento y proceder a la comunicación o comunicaciones subsiguientes derivadas del cumplimiento del presente acuerdo, disponiendo de elementos probatorios/contractuales de tal consentimiento, tanto en la recogida de datos a deportistas destinados a gestionar las licencias federativas ordinarias, como la denominadas “licencias de un día” y la gestión de inscripciones en pruebas deportivas.
Además, se comprometen a notificarse mutuamente, las rectificaciones o cancelaciones de los datos objeto de tratamiento que le hayan sido solicitadas por los interesados, para que se pueda proceder a hacerlas efectivas.
Los CORRESPONSABLES declaran bajo su responsabilidad que disponen de los documentos contractuales de tratamiento de datos suscritos con clubes/asociaciones/organizadores relativos.
3. Comunicación de datos
En aquellos casos, en el marco de relaciones existentes entre los CORRESPONSABLES en base a sus funciones legítimas, no comunicarán los datos recibidos a terceros, salvo que sea necesario para el cumplimiento de los compromisos adquiridos entre ambas Federaciones y así se haya establecido, o le sea requerido por autoridad competente, Jueces o Tribunales de acuerdo con la legalidad vigente.
4. Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, las partes se autorizan mutuamente a tratar la información necesaria, lo que incluye los datos recogidos en la gestión de licencias, que entre otros tiene los siguientes datos:
Titular de la licencia: nombre y apellidos, NIF, Número o IDE de Licencia, edad, dirección, correo electrónico. Curriculum deportivo, datos disciplinarios, controles de dopaje
5. Duración
El presente acuerdo entrará en vigor a la fecha de su firma. Su rescisión, por cualquier motivo, requerirá notificación fehaciente de no seguir recibiendo, o en su caso prestando, los servicios objeto del encargo.
6. Devolución de los datos
Una vez finalice el presente acuerdo, los CORRESPONSABLES, destruirán/cancelaran, los datos de carácter personal y, si procede, los soportes donde consten, una vez acabada la prestación de servicios objeto de su finalidad. La información podrá ser conservada en los plazos que la legislación determine, mientras puedan derivarse responsabilidades por la ejecución de la prestación. Y de no mediar oposición, se podrán conservar como archivo histórico de las entidades, siempre que se cuente con el consentimiento informado en la recogida.
7. Obligaciones de los CORRESPONSABLES
7.1 Corresponsabilidad
Los CORRESPONSABLES conocen y aceptan la normativa y legislación vinculada al ámbito deportivo del ciclismo, así como en lo referente a la protección de datos de carácter personal, protección al honor y a la imagen.
Los CORRESPONSABLES se proporcionarán mutuamente los datos necesarios para la prestación de servicios a los que se refiere este acuerdo
7.2 Finalidad
Utilizarán los datos personales objeto de tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
Si se considera que alguno de los tratamientos infringe el RGPD-UE 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o Europea de los Estados miembros, ambas partes se informarán de forma inmediata.
7.3 Registro de actividades de tratamiento
Llevarán un registro de todas las categorías de actividades de tratamiento efectuadas en el ámbito de su relación y su prestación de servicios, que contendrá:
1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD-UE, la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
a) La seudoanimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
7.4 No comunicación
No comunicarán los datos a terceras personas, salvo que se cuente con la autorización expresa de ambas partes, exceptuándose los supuestos legal y normativamente admisibles.
Los CORRESPONSABLES, en todo caso velaran, de forma positiva y responsable, por verificar el cumplimiento y responsabilidad normativa y legal en las cesiones/comunicaciones a terceros que se puedan realizar.
7.5 Transferencia internacional
En el supuesto de transferencias de datos personales, vinculados a ambas partes, a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, se informarán de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
7.6 Subcontratación
Los CORRESPONSABLES, se responsabilizarán del cumplimiento normativo y legal si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos,
El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento. Corresponde al contratante inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el contratante inicial seguirá siendo plenamente responsable ante la otra parte de este contrato en lo referente al cumplimiento de las obligaciones.
7.7 Deber xx xxxxxxx
Los CORRESPONSABLES, y todo su personal mantendrán el deber xx xxxxxxx respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente encargo, incluso después de que finalice el mismo. Todo ello de no mediar mandato legal o judicial
7.8 Compromisos fehacientes de confidencialidad
Los CORRESPONSABLES garantizarán que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
Los CORRESPONSABLES mantendrán a mutua disposición la documentación acreditativa del cumplimiento de esta obligación.
7.9 Formación de las personas autorizadas
Los CORRESPONSABLES garantizarán la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
7.10 Asistencia en caso de ejercicio de derechos
Los CORRESPONSABLES se asistirán mutuamente, en la respuesta al ejercicio de los derechos que la legislación determina (Acceso, rectificación, supresión y oposición; Limitación del tratamiento; Portabilidad de datos etc.)
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante alguna de las partes, esta se comunicará a la otra parte de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
7.11 Derecho de información
Los CORRESPONSABLES, en el momento de la recogida de los datos, deben facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar antes del inicio de la recogida de los datos.
Se reseña especialmente la necesaria consideración en el tratamiento de menores a efectos de representatividad y consentimiento legal.
7.12 Notificación de violaciones de la seguridad
Los CORRESPONSABLES, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, comunicarán las violaciones de seguridad que pudieran afectar al tratamiento de los datos personales a su cargo, y vinculado a ambas partes, de las que tenga conocimiento, juntamente con toda la información relevante. Se facilitará, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del los CORRESPONSABLES en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Los CORRESPONSABLES realizarán esta comunicación a través del formato más eficaz y fehaciente en bajo condición de URGENTE
Comunicación a las Autoridades de Protección de Datos. Corresponde a la parte afectada comunicar las violaciones de la seguridad en el tratamiento de los datos a la Autoridad de Protección de Datos, no obstante se dará traslado a la otra parte.
La comunicación contendrá, como mínimo, la información siguiente:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Comunicación a los interesados. Corresponderá a la parte afectada comunicar en el menor tiempo posible las violaciones de la seguridad en el tratamiento de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas, dando traslado de dicha comunicación a la otra parte.
La comunicación a los afectados debe realizarse en un lenguaje claro y sencillo y contendrá, como mínimo:
a) Explicación de la naturaleza de la violación de datos.
b) Indicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
7.13 Apoyo en realización comunicaciones, evaluaciones de impacto y consultas previas a las autoridades de control.
Los CORRESPONSABLES se darán apoyo mutuamente en la realización de las comunicaciones preceptivas que se deban realizar ante las autoridades de control, así como en la realización de evaluaciones de impacto relativas a la protección de datos, cuando proceda. De igual forma se procederá en la realización de las consultas previas a la autoridad de control, cuando estas procedan.
7.14 Cumplimiento de las obligaciones
Los CORRESPONSABLES pondrán a mutua disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que se realicen.
7.15 Medidas de seguridad
Los CORRESPONSABLES aplicarán las medidas de seguridad, necesarias y suficientes, acorde al nivel de datos tratados.
Asimismo, y con carácter periódico (y también siempre que haya cambios relevantes en su infraestructura técnica) los CORRESPONSABLES realizarán una evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la implantación de mecanismos para:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Xxxxxxxxxxxx y cifrar los datos personales, en su caso.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un informe que podrá ser accesible por las partes. Dicha información deberá ser actualizada periódicamente.
El alcance de dicha evaluación de riesgos de seguridad de la información será la totalidad de datos tratados las partes en el ámbito de su relación. Las medidas de seguridad abarcarán la protección de los sistemas de información así como de los sistemas de tratamiento manual y archivo de la documentación.
7.16 Delegado de protección de datos.
Los CORRESPONSABLES designarán un delegado de protección de datos y comunicarán su identidad y datos de contacto.
8. Incumplimiento y Responsabilidad
El incumplimiento por parte de cualquiera de las partes de las obligaciones referidas en el presente acuerdo es extensible a ambas en su justa responsabilidad, respondiendo ante las Autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo y/o del cumplimiento de la legislación vigente en materia de protección de datos de carácter personal.
Los CORRESPONSABLES responderán de la totalidad de los daños y perjuicios que se irroguen a la otra parte en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben, a tenor de lo pactado en el presente acuerdo.
Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la Jurisprudencia, en particular: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico o cualquier otra medida excepcional adoptada por las autoridades administrativas o gubernamentales.
9. Confidencialidad.
Los CORRESPONSABLES garantizan que mantendrán la más estricta confidencialidad y expreso cumplimiento del deber xx xxxxxxx profesional en relación con los asuntos vinculados a la presente relación y durante la vigencia de la prestación de servicios y después de su terminación.
A los efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada por palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que se invente en un futuro, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.
10. Notificaciones.
Toda notificación necesaria a los efectos del presente acuerdo se hará por medios fehacientes a la atención y dirección que las partes hayan comunicado.
11. Generalidades.
1. Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes.
Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo.
2. Nada de lo estipulado en el presente acuerdo supone identidad de partes, o que una sea considerada el agente de la otra. Ninguna parte responderá de cualquier declaración, acto u omisión de la otra parte que fuese contrario a lo anterior.
3. Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.
4. La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro.
5. Los documentos contractuales son, en orden de prioridad, el presente contrato y sus anexos. En caso de contradicción el contrato prevalecerá sobre los anexos.
12. Legislación y jurisdicción.
El presente acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de la ciudad señalada en el encabezamiento, con renuncia a cualquier otro fuero que les pudiera corresponder.
13. Información sobre protección de datos a los intervinientes.
Los datos personales facilitados por las partes del presente contrato, para los casos en que éstos sean una persona física o en el caso de representantes de una persona jurídica serán incorporados a un registro cuya titularidad corresponde a cada una de las partes respectivamente.
La finalidad de la recogida y tratamiento de la información es la gestión y mantenimiento de las relaciones comerciales o profesionales establecidas, así como la de mantenerse informado de nuevas obligaciones, servicios y ofertas. Asimismo ambas partes se dan por informadas de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, respecto de sus datos personales, pudiendo ejercitar estos derechos por escrito mediante carta dirigida al domicilio de la parte que corresponda.
Firmado,
Club…………………..……………….. FEDERACIÓN DE CICLISMO DEL
PRINCIPADO XX XXXXXXXX
Fdo. D…………………………………. Fdo: Xxxx Xxxxxxx Xxxx Xxxx
D.N.I………………………………. D.N.I10576224L
Deleg. Prot. Datos*.: ………@....... Delg. Prot. Datos. xxxxxxxxxxx@xxxxxx.xx
* Si fuese exigible
Página 9 de 9