ANEXO…2 : CONTRATO ENCARGADO DE TRATAMIENTO

MODELO CONTRATO CON ENCARGADOS DEL TRATAMIENTO1

ANEXO…2 : CONTRATO ENCARGADO DE TRATAMIENTO

EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

En la ciudad xx Xxxxxxxx a … de ………. de …………..

REUNIDOS

De una parte, D. Xxxx Xxxxxxx Xxxxxxx Xxxxxxx, Rector Magnífico de la Universidad xx Xxxxxxxx, con CIF …..y domicilio social en …. de (50005) Zaragoza, que actúa en representación de la misma en ejercicio de la facultad que le reconocen los artículos 61 y 209 de sus Estatutos, aprobados por Decreto 1/2004, de 13 de enero, del Gobierno xx Xxxxxx y modificados por Decreto 27/2001, de 8 de febrero, y el artículo 316 del R.D.Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el Texto Refundido de la Ley de Contratos del Sector Público (TRLCSP) y, en su nombre y por delegación, según Resolución de 19/04/2016 (BOA nº 75 de 20/04/2016), el Sr. Gerente D. Xxxxxxx Xxx Xxxxx, en aplicación de los artículos 9 y 12 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. En adelante, el responsable del tratamiento o responsable.

Y de otra parte, ……………., con D.N.I. ………………quien actúa como representante legal de con

CIF ………. y domicilio social en ………………….. de (…..) ……….., haciéndolo en calidad de ………… de la misma conforme consta a la documentación social aportada y debidamente bastanteada por el Servicio Jurídico de la Universidad xx Xxxxxxxx. En adelante, el encargado del tratamiento o encargado.

INTERVIENEN ambas partes en el nombre y la representación indicada, reconociéndose mutuamente capacidad legal necesaria para suscribir el presente contrato de encargo de tratamiento de datos personales y cumplir con las obligaciones, deberes y derechos que se derivan del mismo y, en base a ello, reseñan los siguientes:

ANTECEDENTES

I.- Que la Universidad xx Xxxxxxxx, en el marco de su actividad relativa a la docencia y a la investigación, es

responsable del tratamiento de datos personales de ………………..

II.- Que ………………… es una empresa cuyo objeto social consiste, entre otros, en …………………………….

III.-Que en fecha…………. la Universidad xx Xxxxxxxx ha formalizado con la empresa………… un contrato administrativo de ……………. , expediente de su referencia.

IV.- Que la empresa cumple estrictamente con la normativa vigente en materia de protección de datos de

carácter personal, aplica las medidas técnicas y organizativas apropiadas para el tratamiento de datos conforme a los requisitos exigidos por el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos- en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDyGDD) y garantiza la protección de los derechos del interesado.

1 Este contrato será un Anexo al contrato principal de prestación de servicios, del que será parte inseparable.

2 Poner el número de Anexo que corresponda

V.- Que para la correcta prestación de lo contratado las partes estiman necesario que la adjudicataria tenga posibilidad de acceso y, en su caso, realice tratamientos de los datos personales contenidos en ……… de los que es responsable la Universidad xx Xxxxxxxx, por lo que asume las funciones y obligaciones de encargado

del tratamiento.

Con el fin de proceder a la formalización del correspondiente contrato, de modo previo,

MANIFIESTAN

1º) Que a los efectos del presente contrato entienden por:

Datos personales: toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Interesado: es la persona física identificada o identificable.

Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

RGPD: Xxxxxxxxxx (XX) 0000/000, xxx Xxxxxxxxxx Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

LOPDyGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE nº 294, de 6 de diciembre).

2º) Que a los efectos del presente contrato, el responsable del tratamiento ha encomendado al encargado del tratamiento la prestación de los siguientes servicios:

- ………………..

- ……………………..

- Cualquier otra actividad propia del servicio contratado.

Para la correcta prestación de los servicios relacionados, en cumplimiento de la normativa vigente en materia de Protección de Datos de Carácter Personal y en la Disposición Adicional Vigésima Quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, ambas partes acuerdan libremente regular el acceso y tratamiento de los datos de carácter personal mencionados, con arreglo a las siguientes

CLÁUSULAS

PRIMERA.- Objeto.

Es objeto de este contrato el tratamiento de los datos de carácter personal que el responsable del tratamiento pone a disposición del encargado del tratamiento para que este pueda prestar los servicios identificados en el expositivo 2º).

Estos servicios han sido detallados en el contrato administrativo suscrito entre las partes en fecha del

que este contrato pasa a ser Anexo inseparable.

SEGUNDA.- Duración.

La duración del presente contrato es el establecido en el contrato administrativo de prestación de servicios formalizado entre ambas partes.

TERCERA.- Finalidad del tratamiento.

El acceso por parte del encargado del tratamiento a los datos de carácter personal que se encuentran en [poner la aplicación de que se trate, el fichero o tratamiento en el que están incluídos…,etc.] del responsable del tratamiento, será única y exclusivamente para dar cumplimiento a las finalidades relacionadas en el expositivo 2º) .

CUARTA.- Acceso.

El acceso para el encargado del tratamiento se limita a la tipología de datos y las categorías de interesados siguientes:

Tipología de datos	Categoría de interesados
…. (P. ej., Nombre)	. ej., Estudiantes)
…..(P. ej., Apellidos)	. ej., Estudiantes)
…. (P. ej., Teléfono)	. ej., Estudiantes)
…. (P. ej., Email)	. ej., Estudiantes)
…. (P. ej., Dirección)	. ej., Estudiantes)
…. (P. ej., Datos bancarios)	. ej., Estudiantes)

QUINTA.- Obligaciones del encargado del tratamiento.

Según lo establecido en la normativa vigente en materia de Protección de Datos de Carácter Personal, el encargado del tratamiento y todo su personal se obliga a:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos, el encargado informará inmediatamente al responsable.

c) Adoptar todas las medidas técnicas y organizativas necesarias para la protección de los datos personales en sus propios centros y sistemas de tratamiento que sean suficientes para garantizar un nivel de seguridad adecuado al riesgo del tratamiento y, en particular, las siguientes:

- La seudonimización y el cifrado de los datos personales,

- garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento,

- la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico,

- llevar, por escrito, un registro de todas las categorías de actividades de tratamiento que incluya los requisitos establecidos en el artículo 32.1 RGPD,

- las establecidas para este tipo de tratamientos en el Esquema Nacional de Seguridad (ENS) conforme a lo dispuesto en la Disposición adicional primera de la LOPDyGDD.

d) No comunicar o ceder los datos a terceras personas, ni siquiera para su conservación, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

e) No subcontratar ninguna de las prestaciones que forman parte del objeto de este contrato y que comporten el tratamiento de los datos personales.

Si fuera necesario subcontratar algún tratamiento se deberá comunicar previamente y por escrito al responsable con una antelación mínima de 30 días hábiles, indicando los tratamientos que se pretendan subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a efecto si el responsable no manifiesta su posición en el plazo establecido. En tal caso, el subcontratista tendrá también la condición de encargado del tratamiento, con las mismas obligaciones y responsabilidades que éste y sin perjuicio de la plena responsabilidad del encargado inicial en caso de incumplimiento.

f) Mantener el deber de confidencialidad y secreto profesional respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente contrato, incluso después de que finalice el mismo.

g) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles adecuadamente.

h) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratarlos.

i) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y derecho a no ser objeto de decisiones individualizadas automáticas (incluida la elaboración de perfiles).

Cuando los titulares de los datos ejerzan alguno de estos derechos ante el encargado del tratamiento, éste deberá comunicarlo al responsable, a la dirección xxxxxxxx@xxxxxx.xx, de forma inmediata y en ningún caso más allá del día laborable siguiente a la recepción de la solicitud, juntamente, en su caso, con aquella documentación e informaciones que puedan ser relevantes para resolverla.

j) En caso de que la prestación del servicio incluya la recogida de datos personales por cuenta del responsable, el encargado del tratamiento se obliga a facilitar a los interesados la información relativa a los fines y tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se adoptará de mutuo acuerdo con el responsable antes del inicio de la recogida de datos.

k) Notificación de violaciones de seguridad: El encargado del tratamiento notificará al responsable, sin dilación indebida y, en cualquier caso, antes del plazo máximo de 24 horas, a través de la dirección xxxxxxxx@xxxxxx.xx las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la comunicación y documentación de la incidencia, incluyendo la descripción de las medidas adoptadas o propuestas para poner remedio a la misma.3

l) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

m) La adhesión a un Código de Conducta o mecanismo de certificación podrá servir de elemento demostrativo del cumplimiento de los requisitos establecidos en el apartado c).

SEXTA.- Obligaciones del responsable del tratamiento.

Conforme a lo establecido en la normativa vigente en materia de Protección de Datos de Carácter Personal el Responsable de Tratamiento deberá:

a) Dar acceso al encargado a los datos a los que se refiere la Cláusula Cuarta de este documento.

b) Realizar antes del tratamiento, en su caso, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento que vaya a llevar a cabo el encargado.

3 Si los datos se tratan exclusivamente con los sistemas del encargado puede ser recomendable atribuir directamente a éste las funciones de notificación de las violaciones de seguridad

c) Supervisar el tratamiento que realice el encargado, incluida en su caso la realización de inspecciones y auditorías. El encargado deberá facilitarle cuantos datos o documentos le sean requeridos para el adecuado cumplimiento de la supervisión.

d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento por parte del encargado delo establecido en el RGPD y demás disposiciones legalmente aplicables en materia de protección de datos personales.

SÉPTIMA.-Transferencia internacional de datos.

Las transferencias internacionales de datos personales sólo podrán realizarse si se cumplen las exigencias establecidas en el RGPD o normativa de desarrollo.

En caso de que se realicen o se tenga previsto realizar alguna transferencia internacional de datos se deberá regular este tratamiento de forma independiente adjuntándose como Anexo inseparable al contrato principal.

OCTAVA.- Responsabilidad del encargado del tratamiento.

El encargado del tratamiento será considerado responsable del tratamiento en el caso de que destine los datos a otra finalidad, los comunique a terceros o los utilice incumpliendo el presente contrato. En tales casos, el encargado responderá personalmente de las infracciones en que hubiera incurrido en materia de protección de datos personales.

El encargado indemnizará al responsable por los daños y perjuicios de cualquier naturaleza que pudieran resultar del incumplimiento de las obligaciones contraídas en virtud del presente contrato y/o de lo establecido en los artículos 73 y 74 LOPDyGDD. Indemnizará también a las personas que, por tales causas, hayan sufrido daños y perjuicios materiales x xxxxxxx.

La responsabilidad del encargado incluirá, además, el importe de cualquier sanción administrativa o resolución judicial condenatoria que pudiera resultar contra el responsable del tratamiento además de los intereses de demora, costas judiciales e importe de su defensa.

NOVENA.- Destino de los datos.

Una vez cumplida la prestación de servicios el encargado del tratamiento se compromete a devolver al responsable los datos de carácter personal y, si procede, los soportes donde consten salvo instrucción documentada del responsable que le obligue a entregarlos a un nuevo encargado.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Caso de que la prestación de servicios no hubiera requerido ningún acceso, el encargado del tratamiento entregará al responsable, declaración expresa en tal sentido.

DÉCIMA.- Delegados de protección de datos/ Responsables de privacidad.

El responsable del tratamiento tiene designado un Delegado de Protección de Datos, accesible en xxx@xxxxxx.xx y teléfono 000 00 00 00.

El responsable del tratamiento ha designado un [poner si es delegado de protección de datos o responsable de privacidad] cuyos datos de contacto son los siguientes…… y teléfono ……….

Ambas partes se obligan a comunicar a su respectivo Delegado/Responsable cualquier adición, modificación o exclusión en el contenido del registro de las actividades de tratamiento.

UNDÉCIMA.- Para todo lo no expresamente previsto en este contrato se estará a lo dispuesto en el contrato administrativo de prestación de servicios del que este contrato es Anexo inseparable.

Y, en prueba de conformidad, firman todas las hojas del presente contrato por duplicado y a un solo efecto, en el lugar y la fecha señalados en el encabezamiento del presente documento.