REUNIDOS

En

     

a

  

de

     

de

    


REUNIDOS


De una parte      , con domicilio en      , Calle      , núm.       y CIF      , representada en este acto por D./Dña.       en su condición de       de la misma.


Y de otra parte CLARANET, S.A.U., con domicilio en Barcelona, Xxxxxx Xxxx Xxxx, núms. 10-18, planta cuarta, y NIF A61129086 representada en este acto por X. Xxxxx Xxxxxx Xxxxxx en su condición de Administrador de la misma.


MANIFIESTAN


I.- Que CLARANET, S.A.U., se dedica a la prestación de Servicios Gestionados de Internet, Hosting, Infraestructura, Redes y Aplicaciones para terceros.


II.- Que      , se dedica a      .


III.- Que      , ha contratado los servicios de      , a CLARANET, S.A.U.


IV.- Que los servicios descritos en el manifiesto III consisten en la prestación por parte de CLARANET, S.A.U. de la infraestructura y los recursos necesarios para dar soporte a los sistemas de información asociados a los Ficheros que contienen datos de carácter personal, propiedad de       (en adelante, los Ficheros), si bien, sin que ello suponga en ningún caso un acceso individualizado por su parte a su respectivo contenido, sino únicamente la realización de las tareas propias de la gestión y administración del sistema de Ficheros (esto es, cualquier tratamiento de los Ficheros por parte de CLARANET S.A.U. se limitará al acceso a los mismos como bloques unitarios de información, sin necesidad del acceso individual a sus registros).


V.- Que ambas partes, respecto a la citada prestación de servicios y en cumplimiento de lo dispuesto por la normativa europea y española vigente en materia de protección de datos, establecida en el Reglamento UE 2016/679, de 27 xx xxxxx de 2016 (Reglamento General de Protección de Datos), y las normas europeas y españolas de desarrollo vigentes (en adelante, la “Normativa de Protección de Datos”), acuerdan regular el acceso y tratamiento por parte de CLARANET, S.A.U., (en adelante, el ENCARGADO DEL TRATAMIENTO) de los datos de carácter personal cuyo responsable es       (en adelante, el RESPONSABLE DEL TRATAMIENTO).


A tal fin, formalizan el presente CONTRATO DE REGULACIÓN DE TRATAMIENTO DE LOS DATOS Y COMPROMISO DE CONFIDENCIALIDAD, que se regirá con sujeción a las siguientes:


CLÁUSULAS


PRIMERA.- Objeto del contrato.


El objeto del presente Contrato es la regulación de la relación entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DE TRATAMIENTO a los efectos de dar cumplimiento a los principios y reglas establecidos por la Normativa de Protección de Datos. El ENCARGADO DEL TRATAMIENTO se compromete a guardar la máxima reserva y secreto sobre la información clasificada como confidencial.


Se considerará información confidencial cualquier dato de carácter personal al que el ENCARGADO DEL TRATAMIENTO acceda o pudiera acceder en virtud de la referida prestación de servicios. Dicho acceso por parte del ENCARGADO DEL TRATAMIENTO a los datos del RESPONSABLE DEL TRATAMIENTO no se considerará comunicación de datos.



SEGUNDA.- Titularidad de los Ficheros.


El RESPONSABLE DEL TRATAMIENTO manifiesta que es titular de varios Ficheros que contienen datos de carácter personal, que ha obtenido dichos datos de forma legal y cumpliendo lo establecido en la Normativa de Protección de Datos, y que dispone de la autorización inequívoca e informada de los interesados para que el ENCARGADO DEL TRATAMIENTO pueda realizar el tratamiento inherente a la prestación de los servicios encargados al mismo.



TERCERA.- Acceso a los datos de carácter personal.


El ENCARGADO DEL TRATAMIENTO realizará por cuenta del RESPONSABLE DEL TRATAMIENTO, los siguientes tratamientos:


  • Activación, soporte técnico y mantenimiento de los servicio(s) descrito(s) en el manifiesto III.



CUARTA.- Finalidad del tratamiento.


El acceso por parte del ENCARGADO DEL TRATAMIENTO a los datos de carácter personal que se encuentran en los Ficheros del RESPONSABLE DEL TRATAMIENTO, será única y exclusivamente para la finalidad anteriormente descrita en el manifiesto III, y de conformidad con las instrucciones del RESPONSABLE DEL TRATAMIENTO.


La descripción detallada del tratamiento de los datos por encargo del RESPONSABLE DEL TRATAMIENTO, con inclusión de la tipología de los datos que se tratarán en cumplimiento de los servicios contratados, y las categorías de los sujetos interesados se incluyen en el ANEXO I del presente Contrato.


El ENCARGADO DEL TRATAMIENTO se compromete a asegurarse el conocimiento y adecuado cumplimiento de las obligaciones que le corresponden en virtud del presente contrato y de la Normativa de Protección de Datos por parte de sus empleados y/o colaboradores, tanto externos como internos, y en su caso, subcontratistas, que únicamente podrán subcontratar actuando en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, siempre y cuando la intervención de los mismos sea imprescindible para el cumplimento del servicio que se regula en el presente documento.



QUINTA.- Subcontratación.


CLARANET podrá precisar subcontratar servicios de alquiler de espacio técnico y de acondicionamiento eléctrico y climático de dicho espacio para el alojamiento de infraestructuras de TI, y servicios de consultoría IT a terceros proveedores.


En el caso de que tales proveedores traten datos por cuenta del ENCARGADO DEL TRATAMIENTO para prestar los servicios indicados, dichos proveedores asumirán su condición de SUBENCARGADOS DEL TRATAMIENTO. En dicho caso, el ENCARGADO DEL TRATAMIENTO y el SUBENCARGADO DEL TRATAMIENTO suscribirán el correspondiente contrato de encargo del tratamiento, en cumplimiento de las reglas y principios básicos de la Normativa de Protección de Datos. El ENCARGADO DEL TRATAMIENTO comunicará al RESPONSABLE DEL TRATAMIENTO, si así lo requiere este último, los datos identificativos del SUBENCARGADO DEL TRATAMIENTO, indicándole su razón social y datos de contacto, servicio/funciones y acceso a datos del que dispondrá, así como la tipología de los mismos y las categorías de interesados correspondientes.


El SUBENCARGADO DEL TRATAMIENTO estará en ese caso obligado igualmente a cumplir con las obligaciones establecidas en el presente Contrato para el ENCARGADO DEL TRATAMIENTO y las instrucciones que dicte el RESPONSABLE DEL TRATAMIENTO. En el caso de incumplimiento por parte del SUBENCARGADO DEL TRATAMIENTO, el ENCARGADO DEL TRATAMIENTO seguirá siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de sus obligaciones. Sin perjuicio de esta responsabilidad, el ENCARGADO DEL TRATAMIENTO comunicará en este caso al RESPONSABLE DEL TRATAMIENTO los datos identificativos del SUBENCARGADO DEL TRATAMIENTO, indicándole su razón social y datos de contacto, servicio/funciones y acceso a datos de los que dispone, así como la tipología de los mismos y las categorías de interesados correspondientes, en cumplimiento de la Normativa de Protección de Datos, y para garantizar el ejercicio de las correspondientes acciones de responsabilidad.



SEXTA.- Obligaciones y medidas de seguridad.


El ENCARGADO DEL TRATAMIENTO reconoce que la Normativa de Protección de Datos establece una serie de obligaciones en el tratamiento de datos de carácter personal por cuenta de terceros, para cuyo cumplimiento asume los siguientes compromisos:


  1. Accederá a los datos de carácter personal cuyo responsable es el RESPONSABLE DEL TRATAMIENTO, únicamente si tal acceso es necesario para la prestación del servicio contratado, y no utilizará o aplicará dichos datos para fin distinto de la prestación del servicio.


  1. Adoptará, de conformidad con los criterios de responsabilidad proactiva previstos en la Normativa de Protección de Datos, las medidas técnicas y organizativas que se incluyen en el ANEXO II del presente Contrato, y que resultarán pertinentes para garantizar la seguridad e integridad de los datos de carácter personal a los que tenga acceso o pudiera tenerlo, evitando su alteración, pérdida, tratamiento o acceso no autorizado. En este sentido, el ENCARGADO DEL TRATAMIENTO manifiesta expresamente que dispone de las medidas de seguridad acordes con la Normativa de Protección de Datos, las cuales son proporcionales y adecuadas a la naturaleza de los datos a los que habrá de acceder, si fuera el caso, para la prestación del servicio al RESPONSABLE DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO, y en su caso a la Agencia Española de Protección de Datos, sin dilación y tras tener conocimiento de la misma, de cualquier violación de seguridad producida de los datos de carácter personal.


  1. No comunicará o permitirá el acceso a terceras personas, a los datos de carácter personal a los que tenga acceso, ni tan siquiera a efectos de su conservación, excepto, lo indicado en la Cláusula TERCERA de este Documento.


  1. En su caso, asistirá al RESPONSABLE DEL TRATAMIENTO en el cumplimiento de sus obligaciones con respecto al ejercicio por el interesado de los derechos previstos en la Normativa de Protección de Datos. Asimismo, asistirá al RESPONSABLE DEL TRATAMIENTO en el cumplimiento de sus obligaciones referentes a la seguridad del tratamiento, a la realización de eventuales evaluaciones de impacto y/o en la realización de cualesquiera consultas a la Agencia Española de Protección de Datos.


  1. Proporcionará al RESPONSABLE DEL TRATAMIENTO toda la información y documentación necesaria para acreditar el cumplimiento de sus obligaciones, y prestará su colaboración en la realización de auditorías e inspecciones solicitadas por el RESPONSABLE DEL TRATAMIENTO. El coste de las auditorías y/o inspecciones serán asumidos exclusivamente por el RESPONSABLE DEL TRATAMIENTO, sin perjuicio de que dichas auditorías revelen posibles vulnerabilidades de seguridad o cualquier incumplimiento de las obligaciones del ENCARGADO DEL TRATAMIENTO, en cuyo caso el coste de asistir al RESPONSABLE DEL TRATAMIENTO o de rectificar tales vulnerabilidades y/o incumplimientos será asumido por el ENCARGADO DEL TRATAMIENTO.


  1. Añadirá una entrada a sus registros con las categorías de actividades de tratamiento realizadas por cuenta del RESPONSABLE DEL TRATAMIENTO, con inclusión de su nombre, sus datos de contacto y los de sus encargados, de sus representantes y de su Delegado de Protección de Datos, si resulta aplicable, así como las categorías de tratamiento, las transferencias a terceros países en su caso, y la descripción de las medidas técnicas y organizativas de seguridad implementadas por el ENCARGADO DEL TRATAMIENTO y sus proveedores.


  1. Destruirá o procederá a la devolución de los datos cedidos por el RESPONSABLE DEL TRATAMIENTO, y en su caso, de los soportes correspondientes, una vez finalizada la vigencia de este contrato.


Las obligaciones establecidas para el ENCARGADO DEL TRATAMIENTO serán también de obligado cumplimiento para todos sus empleados, colaboradores, tanto externos como internos, y subcontratistas, para los cuales el ENCARGADO DEL TRATAMIENTO responderá frente al RESPONSABLE DEL TRATAMIENTO por el incumplimiento de cualquiera de ellos, de cualesquiera de las obligaciones previstas en el presente Contrato y en la Normativa de Protección de Datos.




SÉPTIMA.- Responsabilidad.


En caso de incumplimiento de cualquiera de las cláusulas del presente documento por parte del ENCARGADO DEL TRATAMIENTO, éste exonera expresamente al RESPONSABLE DEL TRATAMIENTO de cualquier responsabilidad, y en concreto:


  • En el supuesto de que el ENCARGADO DEL TRATAMIENTO utilice o destine los datos de carácter personal para cualquier otro fin distinto del aquí pactado y aceptado por ambas partes.


  • En caso de vulneración por parte del ENCARGADO DEL TRATAMIENTO del deber que le incumbe de guardar secreto sobre los citados datos y de no comunicarlos a terceros, excepto lo indicado en la Cláusula CUARTA de este Documento.


En los casos enumerados y, en general, por el incumplimiento de cualquiera de las cláusulas del presente documento, el ENCARGADO DEL TRATAMIENTO será considerado como RESPONSABLE DEL TRATAMIENTO, y por consiguiente como responsable de las infracciones en que hubiera incurrido personalmente, así como de cualquier reclamación que por los afectados se formule ante la Agencia de Protección de Datos y de la indemnización que, en su caso, se reconozca al afectado que, de conformidad con la Normativa de Protección de Datos, ejercite la acción de responsabilidad correspondiente por el daño o lesión que sufra en sus bienes o derechos.



OCTAVA.- Duración.


Las obligaciones de confidencialidad establecidas en el presente documento tendrán una duración indefinida, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre el ENCARGADO DEL TRATAMIENTO y el RESPONSABLE DEL TRATAMIENTO.


En caso de finalización o resolución de la relación contractual entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO, los datos de carácter personal utilizados por este último deberán ser destruidos o devueltos al RESPONSABLE DEL TRATAMIENTO; el mismo destino habrá de darse a cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.



NOVENA.- Confidencialidad.


Por “Información Confidencial” se entenderá, a título enunciativo y no limitativo, toda aquella información oral o escrita que, siendo propiedad del RESPONSABLE DEL TRATAMIENTO, sea comunicada al ENCARGADO DEL TRATAMIENTO, o a la que este último tenga acceso en el desarrollo de la prestación de servicios al RESPONSABLE DEL TRATAMIENTO, incluyendo en particular cualquier información industrial, listado de empleados, clientes y/o proveedores, incluido su perfil, información asociada a los mismos y/o sus comportamientos, estrategia de negocio, comercial y de precios de la compañía, o de cualquier otra índole, y cualquier información que sea de uso comercial y que no se encuentre disponible públicamente, que haya sido identificada inequívocamente como confidencial o que por su propia naturaleza constituya un secreto comercial del RESPONSABLE DEL TRATAMIENTO.


También tendrá la consideración de Información Confidencial, a los efectos de este Contrato, toda información susceptible de ser revelada de palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, que sea intercambiada entre las Partes como consecuencia de este Contrato y que se señale por el RESPONSABLE DEL TRATAMIENTO como confidencial.


El ENCARGADO DEL TRATAMIENTO se compromete a no divulgar, así como a respetar y guardar secreto respecto de la Información Confidencial perteneciente al RESPONSABLE DEL TRATAMIENTO, o que le fuera confiada o a la que tenga acceso directa o indirectamente por razón de su actividad, pudiera conocer, aun involuntariamente, o sea generada por su actividad en su relación con EL RESPONSABLE DEL TRATAMIENTO.


Asimismo, el ENCARGADO DEL TRATAMIENTO se compromete a utilizar la Información Confidencial accedida y/o recibida del RESPONSABLE DEL TRATAMIENTO en el desarrollo de la prestación de los servicios, única y estrictamente para los fines contractuales previstos y para la ejecución de las obligaciones que ha asumido frente al RESPONSABLE DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO no podrá utilizar de ningún modo la Información Confidencial, ni transmitirla a personas y/o entidades ajenas al RESPONSABLE DEL TRATAMIENTO sin su autorización expresa y por escrito.


El ENCARGADO DEL TRATAMIENTO podrá permitir el acceso a la Información Confidencial únicamente a los usuarios autorizados para la prestación de los servicios contratados con el RESPONSABLE DEL TRATAMIENTO, y siempre que estén sujetos a las mismas obligaciones de confidencialidad del presente Contrato.


Sin perjuicio de lo dispuesto en el apartado anterior, el ENCARGADO DEL TRATAMIENTO podrá revelar información confidencial del RESPONSABLE DEL TRATAMIENTO únicamente en el caso que dicha revelación le sea exigida por mandato legal u orden judicial o administrativa dictada por un tribunal u órgano competente, siempre que de forma inmediata y con carácter previo a dicha revelación, notifique por escrito al RESPONSABLE DEL TRATAMIENTO la existencia de dicho mandato legal u orden judicial o administrativa, debiendo adoptar asimismo cuantas medidas resulten adecuadas para oponerse a dicha revelación o restringir el contenido de la información confidencial que deba revelarse.


Y en prueba de conformidad con lo que antecede, ambas partes firman el presente documento, por duplicado ejemplar a un solo efecto, en el lugar y fecha expresados en el encabezamiento.





Por:

     

Por: CLARANET, S.A.U.

D./Dña.

     

X. Xxxxx Xxxxxx Xxxxxx

     

Administrador











ANEXO I. CATEGORÍAS DE INTERESADOS Y DATOS OBJETO DEL ENCARGO DEL TRATAMIENTO



1. En virtud del presente contrato de encargo del tratamiento, el ENCARGADO DEL TRATAMIENTO tratará por cuenta y decisión del RESPONSABLE DEL TRATAMIENTO los datos de las siguientes categorías de interesados:






El CLIENTE debe indicar aquí las categorías de interesados a quienes corresponden los datos cuyo tratamiento encarga a CLARANET


2. En virtud del presente contrato, el ENCARGADO DEL TRATAMIENTO tratará por cuenta y decisión del RESPONSABLE DEL TRATAMIENTO las siguientes categorías de datos:






El CLIENTE debe indicar aquí la tipología de datos cuyo tratamiento encarga a CLARANET


3. Datos de contacto del Representante/Delegado de Protección de Datos del ENCARGADO DEL TRATAMIENTO:



Cargo: Director de Calidad, Seguridad y Cumplimiento

Apellidos, nombre: Xxxxx Xxxxx, Xxxxxx

Dirección: c/Xxxx Xxxx, 10-18, Xxxxxx Xxxxx

C.P.: 08014

Ciudad: Barcelona

Teléfono: 000 000 000

Dirección e-mail: xxx@xxxxxxxx.xx












ANEXO II. MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD


De conformidad con la Cláusula Sexta del CONTRATO, CLARANET se compromete como ENCARGADO DEL TRATAMIENTO, en cumplimiento de las finalidades de la prestación del servicio, a implementar las siguientes medidas técnicas y organizativas para garantizar la seguridad e integridad de los datos de carácter personal a los que tuviera acceso o pudiera tenerlo:


  • Implementación y mantenimiento de una Programa de Seguridad avalado y reconocido con la Certificación ISO/IEC 27001 de Sistemas de Gestión de seguridad de la información.


  • Realización, ejecución y conservación de backups (copias de seguridad) con periodicidad semanal, y disponibilidad de procedimientos para en su caso proceder a la recuperación de datos de todos los archivos, ficheros y bloques contenidos en los soportes y terminales del ENCARGADO DEL TRATAMIENTO, siempre que el Cliente haya contratado el servicio de copias de seguridad, y en los términos contratados. El ENCARGADO DEL TRATAMIENTO aplicará a dichas copias de seguridad las demás medidas técnicas y organizativas de seguridad implementadas para los datos que son objeto del tratamiento.


  • Control de acceso de los usuarios autorizados por el ENCARGADO DEL TRATAMIENTO a los servidores y bases de datos, mediante sistemas adecuados para impedir accesos no autorizados, siempre que el Cliente haya contratado con CLARANET servicios gestionados en los términos contractuales correspondientes (y que como parte de los servicios gestionados se incluya dicho control de acceso).


  • Registro de accesos por parte de los usuarios autorizados por el ENCARGADO DEL TRATAMIENTO a los servidores y/o bases de datos, recopilando la información necesaria para dejar constancia del usuario y de la fecha y hora de acceso, así como de la operación realizada, siempre que el Cliente haya contratado con CLARANET servicios gestionados en los términos contractuales correspondientes (y que como parte de los servicios gestionados se incluya dicho registro de accesos).


  • Control y registro de acceso a las instalaciones y/o dependencias del ENCARGADO DEL TRATAMIENTO en las que se ubiquen los equipos informáticos que contienen o dan acceso a los datos, de forma que se pueda prevenir el acceso por parte de personas no autorizadas.


  • Implementación de procedimientos de detección, registro, gestión y resolución de incidencias, incluyendo sistemas de notificación inmediata al RESPONSABLE DEL TRATAMIENTO, y en su caso a la Autoridad de Control.


  • Notificación de las violaciones de seguridad de los datos al RESPONSABLE DEL TRATAMIENTO, en un plazo máximo de veinticuatro (24) horas desde que haya sido detectada, y la adopción de medidas correctoras en el plazo más breve posible, sin perjuicio de que en su caso, y de ser necesario, notifique también a la Agencia Española de Protección de Datos siempre dentro del plazo máximo legalmente establecido de setenta y dos (72) horas desde que se tenga constancia de la violación de seguridad. A tal efecto, el ENCARGADO DEL TRATAMIENTO mantendrá un protocolo de actuación ante las posibles violaciones de seguridad, y un registro de las incidencias producidas.


  • Control de los soportes y dispositivos de información del ENCARGADO DEL TRATAMIENTO que contengan los datos, incluyendo al menos un inventario de los mismos y registros de entrada y salida.


El RESPONSABLE DEL TRATAMIENTO manifiesta que, de conformidad con la Normativa de Protección de Datos, y de acuerdo con la naturaleza de los datos personales tratados, las medidas de seguridad antes indicadas son adecuadas para garantizar la seguridad de los datos que son objeto de los servicios incluidos en el presente CONTRATO.


Versión 4.2 OW (05/2019)

Página 7 de 7


Document Metadata

Filed: May 5th, 2020