ANEXO AL CUADRO RESUMEN ACUERDO DE ENCARGADO DE TRATAMIENTO (PERSONA ADJUDICATARIA)
ANEXO AL CUADRO RESUMEN
ACUERDO DE ENCARGADO DE TRATAMIENTO (PERSONA ADJUDICATARIA)
1. OBLIGACIONES GENERALES
Estas obligaciones generales y las establecidas en el apartado 2 de este acuerdo relativo al Tratamiento de Datos Personales constituyen el contrato de encargo de tratamiento entre el SAS y la persona adjudicataria a que hace referencia el artículo 28.3 RGPD.
De conformidad con lo previsto en el artículo 28 del RGPD, la persona adjudicataria se obliga a y garantiza el cumplimiento de las siguientes obligaciones, complementadas y concretadas con lo detallado en el apartado 2. “Tratamiento de Datos Personales
a) Tratar los Datos Personales conforme a las instrucciones documentadas en el presente ▇▇▇▇▇▇ o demás documentos contractuales aplicables a la ejecución del contrato y aquellas que, en su caso, reciba del SAS por escrito en cada momento; salvo que esté obligado a ello en virtud del Derecho de la Unión o nacional que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
b) No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del objeto del Contrato.
c) Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesaria o conveniente para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detallados en el apartado 2 de este documento.
d) ▇▇▇▇▇▇▇▇ la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de la persona adjudicataria, siendo deber de la persona adjudicataria instruir a las personas que de él dependan, de este deber ▇▇
▇▇▇▇▇▇▇, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación.
e) Llevar un listado de personas autorizadas para tratar los Datos Personales objeto de este pliego y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición del SAS dicha documentación acreditativa.
f) Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
g) Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación.
h) Nombrar Delegado de Protección de Datos, en caso de que sea necesario según el RGPD, y comunicarlo al SAS, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por la persona adjudicataria como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
i) Una vez finalizada la prestación contractual objeto del presente ▇▇▇▇▇▇, se compromete, según corresponda y se instruya en el apartado 2 de este documento, a devolver o destruir (i) los Datos Personales a los que haya tenido acceso; (ii) los Datos Personales generados por la persona adjudicataria por causa del tratamiento; y (iii) los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El Encargado del Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
j) Según corresponda y se indique el apartado 2 de este documento, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que en el citado Anexo se especifican, equipamiento que podrá estar bajo el control del SAS o bajo el control directo o indirecto de la persona adjudicataria, u otros que hayan
sido expresamente autorizados por escrito por el SAS, según se establezca en dicho Anexo en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este Pliego.
k) Salvo que se indique otra cosa en el apartado 2 de este documento o se instruya así expresamente por el SAS, a tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en este Pliego o demás documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que por causa de Derecho nacional o de la Unión Europea la persona adjudicataria se vea obligada a llevar a cabo alguna transferencia internacional de datos, la persona adjudicataria informará por escrito al SAS de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al SAS, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
l) De conformidad con el artículo 33 RGPD, comunicar al SAS, de forma inmediata y a más tardar en el plazo de 24 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
m) Cuando una persona ejerza un derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los “Derechos”), ante el Encargado del Tratamiento, éste debe comunicarlo al SAS con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la
solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
La persona adjudicataria asistirá al SAS, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
n) Colaborar con el SAS en el cumplimiento de sus obligaciones en materia de
(i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y (iii) colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición del SAS, a requerimiento de éste, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este Pliego y demás documentos contractuales y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el SAS.
ñ) En los casos en que la normativa así lo exija (ver art. 30.5 RGPD), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del RGPD un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del SAS, que contenga, al menos, las circunstancias a que se refiere dicho artículo.
o) Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del SAS a requerimiento de este. Asimismo, durante la vigencia del contrato, pondrá a disposición del SAS toda información, certificaciones y auditorías realizadas en cada momento.
p) Derecho de información: El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
2. TRATAMIENTO DE DATOS PERSONALES
A) Descripción general del tratamiento de Datos Personales a efectuar1
El tratamiento consistirá en:
(descripción
detallada del tratamiento). Especificar de acuerdo con el artículo 28.3 RGPD naturaleza, finalidad, objeto del tratamiento:
El personal adscrito por la persona adjudicataria, para proporcionar las prestaciones establecidos en el presente pliego puede tratar Datos Personales. Los Datos Personales se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance contratado.
B) Colectivos y Datos Tratados
Los colectivos de interesados y Datos Personales tratados a las que puede tener acceso la persona adjudicataria son:
Tratamientos y principales colectivos de interesados | Principales colectivos de interesados | Datos Personales del tratamiento a los que se puede acceder | Ubicación y control |
Tratamiento 1: Explicitar | Categorías de interesados tratamiento 1 (por ejemplo, ciudadanía, personal, etc...) | (Por ejemplo: D.N.I., nombre y apellidos, dirección, teléfono, correo electrónico, firma, nacionalidad, fecha nacimiento, características personales, económicos, financieros etc...) | Sistemas/dispositivos de tratamiento, manuales y automatizados. Ubicación de los mismos. Entidad encargada de su control (directo por el SAS, directo o indirecto por la persona adjudicataria). |
Tratamiento 2: Explicitar | Categorías de interesados tratamiento 2 (por ejemplo, ciudadanía, personal, | (Idem) | (Idem) |
etc...) | |||
( … hasta completar todos los tratamientos) | (Etc, hasta completar todos los tratamientos) | (Idem) | (Idem) |
C) Elementos del tratamiento
El tratamiento de los Datos Personales comprenderá: (márquese lo que proceda):
Recogida (captura de datos) | Registro (grabación | Estructuración |
Modificación | Conservación (almacenamiento) | Extracción (retrieval) |
Consulta | Cesión | Difusión |
Interconexión (cruce) | Cotejo | Limitación |
Supresión | Destrucción (de copias temporales) | Conservación (en sus sistemas de inf.) |
Duplicado | Copia (copias temporales) | Copia de seguridad |
Recuperación | Otros (especificar): | |
D) Disposición de los datos al terminar la prestación
Una vez finalice el encargo, la persona adjudicataria debe:
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
No obstante, el Responsable del Tratamiento podrá requerir al encargado para que en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Entregar al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación. La entrega debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
E) Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad. De acuerdo con la evaluación de riesgos realizada, se deben implantar, al menos, las medidas de seguridad siguientes:
- (xxx)
- (xxx)
En todo caso, los mecanismos concretos para:
a. Garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d. Seudonimizar y cifrar los datos personales, en su caso.
La persona adjudicataria no podrá no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa del órgano de contratación.
A estos efectos, el personal de la persona adjudicataria debe seguir las medidas de seguridad establecidas en el pliego de prescripciones técnicas y en su caso cualesquiera otras indicadas por el órgano de contratación, no pudiendo efectuar tratamientos distintos de los definidos.
Cuando se produzca una subcontratación con terceros de la ejecución del contrato y el subcontratista deba acceder a Datos Personales, la persona adjudicataria lo pondrá en conocimiento previo del SAS, identificando qué tratamiento de datos personales conlleva, para que este decida, en su caso, si otorgar o no su autorización a dicha subcontratación. El silencio del SAS es en todo caso negativo.
El subcontratista o el cesionario del presente contrato, en su caso, estará sujeto asimismo a las obligaciones impuestas para al contratista principal en el Acuerdo de Encargado del Tratamiento.
Para el cumplimiento del objeto de este contrato no se requiere que la persona adjudicataria acceda a ningún otro Dato Personal responsabilidad del SAS, y por tanto no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en el apartado 2 de este documento. Si se produjera una incidencia durante la ejecución del contrato que conllevara un acceso accidental o incidental a Datos Personales responsabilidad del SAS no contemplados en el citado documento, la
persona adjudicataria deberá ponerlo en conocimiento del SAS, en concreto de su Delegado de Protección de Datos, con la mayor diligencia y a más tardar en el plazo de 24 horas.
No obstante, a la finalización del contrato, el deber ▇▇ ▇▇▇▇▇▇▇ continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del contrato.