CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES



CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES



En ________________ a _____ de _________ de 20___



Reunidos

De una parte, D ___________________________, con DNI _________, en nombre y representación de ______________ con domicilio en __________________________________ y CIF ____________________, en adelante El RESPONSABLE del tratamiento.



Y de otra parte, D ___________________________, con DNI _________, en nombre y representación propios / de __________________ con domicilio en ________________________ y NIF/CIF _____________, en adelante El ENCARGADO del tratamiento.

Ambas partes se reconocen mutuamente la capacidad legal bastante para suscribir este contrato y quedar obligadas en la representación en que respectivamente actúan. A tal fin,



Exponen



Que el Reglamento General de Protección de Datos (Reglamento UE 2016/679 del Parlamento Europeo y el Consejo) en adelante RGPD-UE, establece que el tratamiento de datos personales por parte de un encargado se regirá por un contrato u otro acto jurídico. El contenido de dicho contrato se regula en el artículo 28.3 del RGPD-UE



Estipulaciones



PRIMERA.- Objeto del tratamiento

Mediante las presentes cláusulas se habilita al ENCARGADO del tratamiento, para tratar por cuenta del RESPONSABLE de tratamiento, los datos de carácter personal necesarios para prestar el siguiente servicio:

__________________________________________________________________________________________________________________________________________________________

La naturaleza y finalidad que justifican el tratamiento de los datos de carácter personal por cuenta del RESPONSABLE, son exclusivamente las que se indican en el Anexo al presente contrato.



SEGUNDA.- Duración

El presente acuerdo entrará en vigor a la fecha de su firma y permanecerá vigente mientras dure la prestación de servicios que motiva la formalización del presente contrato.



TERCERA.- Devolución de los datos

Una vez que finalice el presente acuerdo, el ENCARGADO devolverá al RESPONSABLE o en su caso, destruirá, los datos de carácter personal y, si procede, los soportes donde consten, una vez acabada la prestación. El retorno ha de comportar el borrado total de los datos existentes en los sistemas y documentos del ENCARGADO. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades por la ejecución de la prestación.



CUARTA.- Obligaciones del ENCARGADO

Legislación aplicable: El ENCARGADO estará obligado a someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos.

Finalidad: El ENCARGADO utilizará los datos personales sólo para la finalidad objeto de este tratamiento. En ningún caso podrá utilizar los datos para fines propios.

Declaración previa: La empresa adjudicataria tiene la obligación de presentar, antes de la formalización del contrato, una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Asimismo, estará obligado a comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración.

Subcontratación: Los licitadores tendrán la obligación de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización.

El ENCARGADO no podrá subcontratar, ni total ni parcialmente, ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales sin autorización previa y por escrito del RESPONSABLE.

Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este hecho se deberá comunicar previamente y por escrito al RESPONSABLE, con antelación suficiente, indicando los aspectos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación deberá ser autorizada por escrito por el RESPONSABLE, siempre antes de su inicio y deberá regirse con lo estipulado en el artículo 28.4.del RGPD.

Instrucciones del RESPONSABLE: El ENCARGADO tratará los datos personales únicamente siguiendo instrucciones documentadas del RESPONSABLE.

Transferencia internacional: Si el ENCARGADO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará por escrito al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Confidencialidad: El ENCARGADO y todo su personal mantendrán el deber xx xxxxxxx respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente encargo, incluso después de que finalice el mismo.

El ENCARGADO garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

Si existe una obligación de confidencialidad estatutaria deberá quedar constancia expresa de la naturaleza y extensión de esta obligación.

El ENCARGADO mantendrá a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de esta obligación.

Medidas de seguridad: El ENCARGADO con carácter periódico (y también siempre que haya cambios relevantes en su infraestructura de software y hardware) realizará una evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la implantación de mecanismos adecuados a los riesgos detectados tal y como se describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en concreto:

  1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

  2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

  3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

  4. Seudonimizar y cifrar los datos personales, en su caso.

La evaluación de riesgos de seguridad de la información deberá ser recogida en un informe por el ENCARGADO, que deberá proporcionarlo al RESPONSABLE. El alcance de dicha evaluación de riesgos de seguridad de la información será la totalidad de datos tratados por cuenta del RESPONSABLE. Las medidas de seguridad abarcarán la protección de los sistemas de información, así como de los sistemas de tratamiento manual y archivo de la documentación.

Registro de actividades de tratamiento: El ENCARGADO llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE con el contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en alguna de las excepciones del artículo 30.5 .

No comunicación: El ENCARGADO no comunicará los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE, en los supuestos legalmente admisibles.

Formación de las personas autorizadas: El ENCARGADO garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

Ejercicio de los derechos: El ENCARGADO asistirá al RESPONSABLE, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos).

Notificación de violaciones de la seguridad: El ENCARGADO notificará al RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante consignada en el artículo 33.3. del RGPD.







Apoyo en realización de evaluaciones de impacto para la protección de datos: El ENCARGADO dará apoyo al RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

Cumplimiento de las obligaciones: El ENCARGADO pondrá a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.

Delegado de protección de datos: El ENCARGADO designará, si procede, un delegado de protección de datos y comunicará su identidad y datos de contacto al RESPONSABLE.



QUINTA.- Obligaciones del RESPONSABLE

Corresponde al RESPONSABLE del tratamiento:

  1. Entregar al ENCARGADO los datos necesarios para la prestación de servicios a los que se refiere este acuerdo.

  2. Realizar cuando así lo exija la normativa una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO.

  3. Realizar las consultas previas que corresponda ante las Autoridades de Protección de Datos.

  4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD-UE por parte del ENCARGADO.

  5. Supervisar el tratamiento de los datos, incluida la realización de inspecciones y auditorías.

SEXTA.- Incumplimiento

El incumplimiento por parte del ENCARGADO de las obligaciones referidas en el presente acuerdo comportará que sea considerado también responsable del tratamiento, respondiendo ante las Autoridades de Protección de Datos, o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo o del cumplimiento de la legislación vigente en materia de protección de datos de carácter personal.



SÉPTIMA.- Responsabilidad

Tanto el RESPONSABLE como el ENCARGADO responderán de la totalidad de los daños y perjuicios que se irroguen a la otra parte en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben, a tenor de lo pactado en el presente acuerdo.

Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la Jurisprudencia, en particular: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico o cualquier otra medida excepcional adoptada por las autoridades administrativas o gubernamentales.



OCTAVA.- Notificaciones

Toda notificación necesaria a los efectos del presente acuerdo se hará por escrito a la atención y dirección de quien consta en el encabezamiento del presente acuerdo.



NOVENA.- Generalidades

  1. Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes.

Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo.

  1. Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.

  2. La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro.

DÉCIMA.- Legislación y jurisdicción

El presente acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de la ciudad señalada en el encabezamiento, con renuncia a cualquier otro fuero que les pudiera corresponder.



Firmado,









RESPONSABLE del tratamiento ENCARGADO del tratamiento






ANEXO I


FINALIDADES QUE JUSTIFICAN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL POR PARTE DEL ENCARGADO DE TRATAMIENTO



  1. INTRODUCCIÓN


El presente Anexo forma parte del contrato de encargo de tratamiento suscrito entre las partes y detalla los aspectos y la identificación de la información afectada a los que accede o trata el Encargado de Tratamiento, la tipología de datos y las finalidades que justifican el tratamiento.



  1. EL TRATAMIENTO DE DATOS PERSONALES INCLUIRÁ LOS SIGUIENTES ASPECTOS

(eliminar lo que no proceda)


Recogida  Registro

Estructuración  Modificación

Conservación  Extracción

Consulta  Comunicación

Difusión  Supresión

Destrucción



Otros: ________________________________________________________________

  1. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE del tratamiento autoriza al ENCARGADO del tratamiento a tratar la información necesaria, lo que incluye las siguientes categorías de datos (eliminar lo que no proceda):

Datos identificativos: Nombre y Apellidos, DNI, Nº SS, Dirección, Teléfono, Firma/Huella, Imagen/Voz

Datos de naturaleza penal

Datos de infracciones y sanciones administrativas

Datos categorías especiales: Salud, Datos genéticos o biométricos, Afiliación Sindical, Religión, Ideología, Creencias, Vida Sexual, Origen racial o étnico, Violencia de género

Datos de características personales: Datos de estado civil; Edad; Datos de familia; Sexo; Fecha de nacimiento; Nacionalidad; Lugar de nacimiento; Idioma

Datos de circunstancias sociales: Aficiones y estilo de vida; Pertenencia a clubes, asociaciones

Datos académicos y profesionales: Formación; Titulaciones; Expediente Académico; Experiencia profesional; Pertenencia a colegios o asociaciones profesionales

Datos detalle de empleo: Cuerpo/Escala; Categoría/grado; Puestos de trabajo; Datos no económicos de nómina; Historial del trabajador

Datos económico-financieros y de seguros: Ingresos, rentas; Inversiones, bienes patrimoniales; Créditos, préstamos, avales; Datos bancarios; Planes de pensiones, jubilación; Datos económicos de nómina; Datos deducciones impositivas/impuestas; Seguros; Hipotecas; Subsidios, beneficios; historial créditos; Tarjetas crédito

Datos de transacciones: bienes y servicios suministrados por el afectado; bienes y servicios recibidos por el afectado; transacciones financieras; compensaciones/indemnizaciones



  1. FINALIDADES QUE JUSTIFICAN EL ACCESO O TRATAMIENTO POR PARTE DEL ENCARGADO

El Responsable del Tratamiento autoriza al Encargado de Tratamiento a tratar información de carácter personal de su titularidad, única y exclusivamente, para ________________________________________________________________________________________________________________________________________






En Representación de la UNED, En Representación de



















Fdo.: Fdo.:



8


Document Metadata

Filed: May 5th, 2020