PROTECCIÓN DE DATOS
Con el fin de dar cumplimiento a la normativa de Protección de Datos Personales y, principalmente, al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento general de Protección de datos o RGPD), así como la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), ambas partes con la firma del presente contrato se comprometen al cumplimiento de dicha normativa con relación a los datos que pudiesen ser tratados para la prestación del servicio.
EI PRESTADOR DE SERVICIOS, llevará a cabo el tratamiento de datos personales derivado de la prestación del servicio contratado, de conformidad con las siguientes obligaciones:
Limitarse a realizar las actuaciones que resulten necesarias para prestar al CLIENTE el Servicio contratado, de conformidad con lo establecido en el Contrato correspondiente.
En concreto, se comprometerá a realizar el tratamiento de los datos personales ajustándose a las instrucciones que, en cada momento, le indique el CLIENTE, así como a lo dispuesto en la normativa que le resulte aplicable en materia de protección de datos personales Si el PRESTADOR DE SERVICIOS considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, éste informará inmediatamente al CLIENTE.
Comprometerse a no realizar ningún otro tratamiento sobre los datos personales, ni a aplicar o utilizar los datos con una finalidad distinta a la prestación del Servicio al que se hace referencia en el presente Contrato, ni a utilizarlos con fines propios.
Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Mantener un registro, por escrito, de todas las actividades de tratamiento efectuadas por cuenta del CLIENTE, que contenga:
El nombre y los datos de contacto del PRESTADOR DE SERVICIOS y del CLIENTE y, en su caso, del representante del CLIENTE o del PRESTADOR DE SERVICIOS y, en su caso, del delegado de protección de datos.
Las categorías de tratamientos efectuados por cuenta de cada CLIENTE. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, la documentación de garantías adecuadas.
Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
✓ La seudonimización y el cifrado de datos personales.
✓ La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
✓ La capacidad de restaurar la disponibilidad y el acceso a los datos
personales de forma rápida, en caso de incidente físico o técnico. ✓ El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Comprometerse a guardar bajo su control y custodia los datos personales suministrados por el CLIENTE a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos,
ni siquiera para su conservación a otras personas.
Comprometerse a no realizar transferencias internacionales de datos personales a un tercer país o a una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al PRESTADOR DE SERVICIOS, en tal caso, el PRESTADOR DE SERVICIOS informará
al CLIENTE de esa exigencia legal y la base jurídica junto a, en su caso, la documentación que ampara la transferencia internacional, con carácter previo al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
EI PRESTADOR DE SERVICIOS implantará las medidas de seguridad y mecanismos establecidos en el artículo 32 del RGPD para:
Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. Seudonimizar y cifrar los datos personales, en su caso.
Asimismo, el PRESTADOR DE SERVICIOS deberá adoptar todas aquellas medidas técnicas y organizativas que, a tenor del análisis de riesgo efectuado por el CLIENTE, éste
considere que resultan necesarias para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.
Sin perjuicio de lo anterior, el PRESTADOR DE SERVICIOS podrá realizar su propio análisis de riesgo y proponer al CLIENTE la adopción de medidas de seguridad adicionales o sustitutivas de las propuestas por éste, siempre que de las mismas resulte un nivel de seguridad adecuado. En todo caso, la decisión final sobre la adopción e implantación de unas u otras medidas corresponden al CLIENTE.
El deber de secreto y confidencialidad que se deriva del presente contrato obliga al PRESTADOR DE SERVICIOS durante su vigencia y se extenderá, en función de la tipología de información de que se trate, durante los plazos máximos previstos en la legislación vigente que resulte de aplicación.
EI PRESTADOR DE SERVICIOS garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que CLIENTE informará convenientemente.
Por personas autorizadas debe entenderse toda persona que, con independencia de la naturaleza jurídica del vínculo que le une al PRESTADOR DE SERVICIOS, por cualquier medio, puedan tener acceso a los datos objeto de tratamiento.
EI PRESTADOR DE SERVICIOS mantendrá a disposición del CLIENTE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
Corresponde al CLIENTE facilitar el derecho de información en el momento de la recogida de los datos.
Una vez cumplida la prestación del servicio objeto del Contrato, el PRESTADOR DE SERVICIOS se compromete a devolver al CLIENTE o a la persona que éste determine aquella información que contenga datos de carácter personal que haya sido transmitida por el CLIENTE al PRESTADOR DE SERVICIOS con motivo de la prestación del Servicio.
Finalizado el proceso de devolución, el ENCARGADO DEL TRATAMIENO deberá proceder a la destrucción de los datos existentes en los equipos informáticos y otros soportes por él utilizados.
No obstante lo previsto en el párrafo anterior, el PRESTADOR DE SERVICIOS podrá conservar los datos e información tratada, debidamente bloqueados, en el caso que pudieran derivarse responsabilidades de su relación con el CLIENTE.
Transcurrido el plazo de prescripción de las acciones que motivaron la conservación de datos, el PRESTADOR DE SERVICIOS deberá proceder a su destrucción del modo expuesto en los párrafos anteriores.
En caso de subcontratación, el subcontratista, que también tendrá la condición de PRESTADOR DE SERVICIOS, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el PRESTADOR DE SERVICIOS y las instrucciones que dicte el CLIENTE. Corresponde al PRESTADOR DE SERVICIOS inicial regular la nueva relación de conformidad con el artículo 28 del RGPD, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.
En el caso de incumplimiento por parte del sub–encargado, el PRESTADOR DE SERVICIOS inicial seguirá siendo plenamente responsable ante el CLIENTE en lo referente al cumplimiento de las obligaciones.
EI ENCARGADO no podrá comunicar los datos a otros destinatarios, salvo que hubiera obtenido una autorización previa y por escrito del RESPONSABLE; la cual, de existir, se anexará al presente contrato.
La transmisión de datos a autoridades públicas en el ejercicio de sus funciones públicas no son consideradas comunicaciones de datos, por lo que no se precisará la autorización del RESPONSABLE si dichas transmisiones son necesarias para alcanzar la finalidad del
encargo.
Además, los subencargados de tratamiento de datos, tales como empresas de sistemas, de mantenimiento de sistemas, y de desarrollo de software, las cuales son necesarias para desarrollo del servicio, disponen de un contrato de tratamiento de datos firmado, por lo que no se precisa de una autorización por parte del cliente.
EI PRESTADOR DE SERVICIOS asistirá al CLIENTE en la respuesta al ejercicio de los derechos de los interesados (derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos, y a no ser objeto de decisiones individualizadas automatizadas).
En este sentido, el PRESTADOR DE SERVICIOS deberá dar traslado de la solicitud de forma inmediata al CLIENTE y, a no más tardar, dentro del plazo de cinco días naturales a contar desde su recepción, para que el CLIENTE resuelva debidamente dicha solicitud.
Corresponden al CLIENTE las siguientes obligaciones:
Realizar el análisis de riesgos que puedan derivar de la actividad de tratamiento que va a ser objeto de encargo y, en base a tal análisis, indicar al PRESTADOR DE SERVICIOS las medidas técnicas y organizativas que deberá implementar para la prestación del servicio objeto de encargo de tratamiento.
Realizar, si fuese necesario, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el PRESTADOR DE SERVICIOS.
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del PRESTADOR DE SERVICIOS.
Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Ambas partes se comprometen a cumplir con las obligaciones establecidas en el presente Contrato de encargo de tratamiento y en la normativa vigente. Cada parte deberá hacer frente a la responsabilidad que se derive de su propio incumplimiento, debiendo dejar indemne a la otra parte de los daños y perjuicios que pudieran derivarse de dicho incumplimiento.
De conformidad con lo establecido en el artículo 28.10 del RGPD y normativa de protección de datos, si el PRESTADOR DE SERVICIOS infringe lo establecido en el RGPD al determinar los fines y medios del tratamiento será considerado CLIENTE con respecto a dicho tratamiento.
En caso de detectarse una brecha de seguridad, se reportará en un máximo de 72 horas a la Agencia de Protección de Datos. Evaluando la naturaleza de la misma, se determinará si es necesario comunicar a los clientes dicha brecha de seguridad. En caso de que fuese necesario comunicarlo a los clientes, dicha comunicación contendrá, como mínimo, la siguiente información;
Descripción de la naturaleza de la violación.
Categorías y el número aproximado de interesados afectados. Categorías y el número aproximado de registros de datos afectados.
Posibles consecuencias.
Medidas adoptadas o propuestas para remediar o mitigar los efectos.
Datos de contacto donde pueda obtenerse más información (DPO, responsable de seguridad, etc.)