ANEXO I: CONTRATO CONFIDENCIALIDAD.

ANEXO I.a: INFORMACIÓN ADICIONAL SOBRE PROTECCIÓN DE DATOS

ANEXO I.b:  MEDIDAS DE SEGURIDAD Y PROHIBICIONES

ANEXO II: CONTRATO ENCARGADO DE TRATAMIENTO DE DATOS.

ANEXO II.a: OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

ANEXO I: CONTRATO CONFIDENCIALIDAD.

INFORMACIÓN Y CONFIDENCIALIDAD SOBRE PROTECCIÓN DE DATOS

El abajo firmante, D._____________________________________, con D.N.I. __________, en el marco de la relación laboral que le une con el centro educativo IESO Ribera del Cega es informado de las obligaciones que la normativa en materia de protección de datos establece:

1. No revelar a persona alguna ajena al centro, sin su consentimiento, los datos de carácter personal a los que haya tenido acceso en el desempeño de sus funciones en el IESO Ribera del Cega, excepto en el caso de que ello sea necesario para dar debido cumplimiento a obligaciones del abajo firmante o de la entidad impuestas por las leyes o normas que resulten de aplicación, o sea requerido para ello por mandato de la autoridad competente con arreglo a Derecho, no pudiendo disponer de ella para ninguna otra finalidad.

2. No utilizar en forma alguna cualquier otra información que hubiese podido obtener prevaliéndose de su presencia en el centro para el desempeño de sus funciones.

3. Cumplir, en el desarrollo de sus funciones en el IESO Ribera del Cega, la normativa vigente, nacional y comunitaria, relativa a la protección de datos de carácter personal y disposiciones complementarias.

4. Cumplir los compromisos anteriores incluso después de extinguida, por cualquier causa, la relación que le une con el IESO Ribera del Cega.

El IESO Ribera del Cega informa al abajo firmante de que el incumplimiento de este deber de secreto puede conllevar responsabilidades administrativas, laborales y/o penales incluyendo, en su caso, las eventuales indemnizaciones que pudieran llevar aparejadas.

Con la firma de este documento el trabajador declara que ha leído y comprendido en toda su extensión la información adicional disponible en todo momento para su consulta.

En _________________  a ______ de _________________de 20__.

Firma del trabajador.

ANEXO I.a: INFORMACIÓN ADICIONAL SOBRE PROTECCIÓN DE DATOS

¿Quién es el responsable del tratamiento de tus datos?

 Nombre entidad: DIRECCIÓN GENERAL DE POLÍTICA EDUCATIVA ESCOLAR (Consejería de Educación)

Dirección: Consejería de Educación de Castilla y León, Monasterio de Nuestra Señora de Prado, Autovía Puente Colgante, s/n. 47014 Valladolid.

Teléfono: 983 41 15 00

Correo electrónico: dpd.educacion@jcyl.es

 ¿Con qué finalidad tratamos sus datos personales?

 En el centro vamos a tratar sus datos personales con la finalidad de gestionar y mantener la relación interna existente entre el IESO Ribera del Cega y empleados, y para las siguientes finalidades:

• Realizar todos aquellos trámites administrativos necesarios para cumplir con nuestros compromisos contractuales.

 ¿Durante cuánto tiempo vamos a conservar sus datos personales?

• Sus datos personales serán conservados mientras dure la relación laboral con IESO Ribera del Cega.
• Finalizada la misma, la entidad conservará bloqueados durante el plazo legal de 4 años la documentación necesaria para acreditar el cumplimiento de las obligaciones en materia de pagos, de acuerdo con el Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social.
• Toda aquella documentación fiscal obligatoria según la normativa tributaria que proceda, será conservada durante un plazo de 4 años, de conformidad con la Ley General Tributaria.

 ¿Cuál es la legitimación para el tratamiento de sus datos?

1.  Ejecución de contrato: La base legal para el tratamiento de sus datos es la ejecución de su contrato laboral.
2. Cumplimiento de una obligación legal:

• Los tratamientos de datos derivados las relaciones laborales, están legitimados por el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
• Obligación de protección en materia de Prevención de Riesgos Laborales, en virtud de la Ley 31/1995, de 8 de noviembre de Prevención de Riesgos Laborales.
• Suministro de información a las entidades gestoras de las prestaciones económicas de la Seguridad Social de conformidad con la Ley General de la Seguridad Social.
• Comunicación de sus datos cuando así lo solicite la Inspección de Trabajo. Ley 42/1997, de 14 noviembre, reguladora de la Inspección de Trabajo.
• Obligaciones tributarias de la entidad, conforme a la Ley General Tributaria.

 ¿A qué destinatarios se comunicarán sus datos?

 Sus datos serán comunicados a las entidades y organismos que se detallan a continuación:

• A la Consejería de Educación de la Junta de Castilla y León.
• A las entidades bancarias que corresponda, para estar al corriente de pagos.
• A la Administración tributaria.
• Organismos de la Seguridad Social, Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social.
• En el supuesto de que nos sea solicitado, sus datos serán cedidos a la Inspección de Trabajo.

 Transferencias internacionales.

IESO Ribera del Cega no tiene previsto realizar transferencias internacionales de datos, es caso de ser necesarias, sólo se realizarán a entidades bajo la habilitación del acuerdo EEUU-Unión Europea Privacy Shield (más información: https://www.privacyshield.gov/welcome), a entidades que hayan demostrado que cumplen con el nivel de protección y garantías de acuerdo con los parámetros y exigencias previstas en la normativa vigente en materia de protección de datos, como el Reglamento Europeo, o cuando exista un habilitación legal para realizar la transferencia internacional.

 Medidas de seguridad.

Como persona o entidad con relación laboral con el IESO Ribera del Cega deberá cumplir y estar al corriente de las medidas de seguridad y prohibiciones que en materia de protección de datos y privacidad se detallan en el Anexo I.b del presente documento.

 ¿Cuáles son sus derechos en relación con el tratamiento de datos?

Usted como titular de datos tiene derecho a obtener confirmación sobre la existencia de un tratamiento de sus datos, a acceder a sus datos personales, solicitar la rectificación de los datos que sean inexactos o, en su caso, solicitar la supresión, cuando entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos o usted como interesado retire el consentimiento otorgado. IESO Ribera del Cega tratará y conservará sus datos de acuerdo con la normativa vigente, sin perjuicio de que como interesado pueda solicitar en todo caso, la limitación del tratamiento de sus datos.  En ciertos supuestos podrá ejercitar su derecho a la portabilidad de los datos, que serán entregados en un formato estructurado, de uso común o lectura mecánica a usted o al nuevo responsable de tratamiento que designe. Tendrá derecho a revocar en cualquier momento el consentimiento para cualquiera de los tratamientos para los que lo ha otorgado. Para ejercitar sus derechos comuníquese con nosotros a través de la dirección de correo electrónico dpd.educacion@jcyl.es.  Tendrá derecho a presentar una reclamación ante la Agencia Española de Protección de Datos en el supuesto de que considere que no se ha atendido convenientemente el ejercicio de sus derechos. El plazo máximo para resolver será el de un mes a contar desde la recepción de su solicitud. En el caso de producirse alguna modificación de sus datos, le agradecemos nos lo comunique debidamente por escrito con la finalidad de mantener sus datos actualizados.

 Fecha de creación 15 de mayo de 2019.

ANEXO I. b  MEDIDAS DE SEGURIDAD Y PROHIBICIONES

Las siguientes medidas de seguridad son de obligado cumplimiento para todo el personal de IESO Ribera del CEGA en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en cuyo artículo 32 se dispone que:

• El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
• El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo detectado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
• Las sanciones por incumplimiento de las estipulaciones del Reglamento pueden acarrear la imposición de sanciones de hasta 20 millones euros o el 4% de la facturación bruta mundial.

A continuación, se presenta un resumen de las medidas de seguridad más relevantes. Esta normativa de seguridad es de obligado cumplimiento para todos los usuarios de IESO Ribera del Cega (personal interno y externo, así como estudiantes, voluntarios o colaboradores) con acceso a los datos de carácter personal en soporte papel y a los sistemas de información.

1. En relación a los datos personales almacenados en soporte papel y cualquier otro dispositivo no electrónico, se tendrán en cuenta las siguientes normas: 

• Cuando la documentación con datos de carácter personal no se encuentre archivada en los dispositivos habilitados para su almacenamiento, por encontrarse en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pudiera ser accedida por personal no autorizado.
• La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado.
• Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior, por ejemplo, mediante triturado.
• Siempre que se proceda al traslado físico de la documentación, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto del traslado.

2. En relación a las contraseñas se seguirán las siguientes normas:

• Se evitarán nombres comunes, números de matrículas de vehículos, teléfonos, nombres de familiares o de amigos y derivados del nombre de usuario como serían mutaciones en cambios de orden o repeticiones de las letras.
• No se accederá al sistema utilizando el identificador y contraseña de otro usuario puesto que es personal e intransferible. Las responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán sobre el usuario al que hubiera sido asignado ya que está prohibido revelar la contraseña a otros usuarios.

 3. En relación a los ordenadores se seguirán las siguientes normas:

• En el caso de tratar datos personales en el dispositivo, se tiene la obligación de trabajar sobre la unidad lógica definida en la entidad. Se prohíbe almacenar en estos soportes datos personales sin autorización.
• El trabajador que desee utilizar su dispositivo personal, para fines empresariales, deberá comunicarlo previamente a la persona asignada a tal efecto. En caso de autorizarse, el trabajador deberá implementar las medidas de seguridad oportunas que garanticen la seguridad y confidencialidad de sus datos, así como firmar los documentos oportunos.
• El uso de dispositivos es para fines estrictamente encomendado por IESO Ribera del Cega y por tanto no se utilizará para fines particulares. Se podrá monitorizar su buen uso.
• El usuario que quiera instalar nuevas aplicaciones, ha de solicitar autorización previa escrita al responsable de TIC, así como seguir las instrucciones de descarga, instalación y configuración de seguridad y privacidad.
• El usuario extremará la precaución en el acceso a páginas web en la descarga de ficheros para impedir la entrada de malware que pueda comprometer el funcionamiento del dispositivo.

 4. Las siguientes normas se aplicarán a los soportes de almacenamiento (PenDrive, CD's, etc) utilizados por los usuarios:

• Se prohíbe almacenar en estos soportes datos personales sin autorización previa.
• En el caso de salida de algún soporte fuera de los locales de la entidad IESO Ribera del Cega (salida que deberá ser debidamente autorizada) el usuario adoptará medidas de seguridad dirigidas a evitar la sustracción, posible pérdida o accesos indebidos a la información
• En el momento del desecho de algún soporte, el usuario procederá a su previo borrado o a su destrucción para evitar el acceso o recuperación posterior de la información contenida en el mismo.

5. Respecto al uso de terminales móviles corporativos (incluyendo teléfonos y tablets ):

• El dispositivo es para fines estrictamente encomendados por IESO Ribera del Cega y por tanto no se utilizará para fines particulares. Se monitorizará su buen uso.
• El usuario custodiará el dispositivo impidiendo el acceso o manipulación por parte de otras personas.
• Es obligatorio hacer servir el bloqueo por código o cualquier mecanismo de protección equivalente disponible en el dispositivo.
• El usuario se abstendrá de desactivar cualquier mecanismo de seguridad que haya estado habilitado por IESO Ribera del Cega en el dispositivo, así como el sistema de bloqueo, el sistema de borrado remoto, el cifrado de datos o cualquier otro.
• Queda totalmente prohibido el jailbreak o cualquier modificación o re-configuración del dispositivo sin autorización previa escrita del responsable de TIC.
• El usuario que quiera instalar nuevas aplicaciones al dispositivo, ha de solicitar autorización previa escrita al administrador del sistema, así como seguir las instrucciones de descarga, instalación y configuración de seguridad y privacidad.
• En caso de avería o mal funcionamiento del dispositivo se debe notificar inmediatamente al responsable de TIC. También se notificarán pérdidas o robos del dispositivo a fin de proceder a la denuncia, bloqueo y/o borrado remoto.
• Está prohibido almacenar o mantener datos personales catalogados como categorías especiales de datos origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física así como los relativos a condenas e infracciones penales, salvo que se cuente con autorización previa y por escrito del Director.
• El usuario extremará la precaución en el acceso a páginas web en la descarga de ficheros para impedir la entrada de malware que pueda comprometer el funcionamiento del dispositivo.
• El uso personal de las comunicaciones telefónicas estará permitido si es fortuito o insignificante, y no interfiere con las actividades habituales ni perjudica el rendimiento de las mismas. El acceso de los usuarios y sus privilegios asociados se verán limitados exclusivamente a aquellos que resulten imprescindibles para desarrollar las funciones correspondientes a sus obligaciones profesionales para con la empresa. Los equipos telefónicos fijos y móviles, así como el fax son propiedad de la empresa, y por tanto, se reserva el derecho de revisar la lista de llamadas realizadas y faxes enviados, para la verificación del cumplimiento de las normas ante cualquier sospecha fundada o evidencia de uso fraudulento o abusivo del servicio. 

6. En relación a la realización de pruebas de software, está prohibido incorporar datos de carácter personal reales en los entornos de desarrollo que no cuenten con las debidas medidas de seguridad y hayan sido autorizados para ello por el responsable TIC. En dichos entornos desprotegidos se emplearán exclusivamente datos ficticios.

7. Respecto a la cuenta de correo asignada por la Junta de Castilla y León, se observarán las siguientes normas:

• El usuario mantendrá la contraseña de acceso de manera confidencial y sin facilitarla a otras personas.
• No utilizar una contraseña fácilmente deducible.
• Cuando el correo contenga datos sensible (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física y relativos a condenas e infracciones penal) no podrá reenviarlo sin autorización a tal efecto inmediato y deberá en cualquier caso encriptar su contenido.

8. Toda incidencia y brecha en materia de seguridad deberá comunicarse, siguiendo las instrucciones determinadas en el citado manual, al responsable TIC tan pronto como se tenga constancia de la misma.

9. Queda terminantemente prohibido iniciar nuevos tratamientos de datos sin previa autorización de la Dirección.

10. No está permitido instalar “motu propio” ningún producto informático o APP en ordenadores, smartphones, tablets y sistemas de información de la organización. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán autorizadas por el responsable TIC e instaladas por personal autorizado para ello. También está prohibido alterar o modificar “motu propio” la configuración del sistema, dispositivo y aplicativos de gestión.

11. Queda prohibido utilizar los recursos de los sistemas a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente encomendadas por  IESO Ribera del Cega.

12. Queda terminantemente prohibido facilitar a persona alguna ajena a IESO Ribera del Cega ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.

13. Cualquier solicitud de ejercicio de derechos por parte de un interesado en relación con el tratamiento de sus datos será trasladada inmediatamente a la persona o departamento responsable de estudiarla y responderla.

14. Está absolutamente prohibido almacenar en dispositivos datos personales catalogados como categorías especiales de datos origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física así como los relativos a condenas e infracciones penales, salvo que se cuente con la autorización por escrito de IESO Ribera del Cega.

Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación colaboración voluntaria o de prestación de servicios con IESO Ribera del Cega.

Asimismo, se recuerda que el usuario será responsable frente a IESO Ribera del Cega y frente a terceros de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de los compromisos anteriores y resarcirá a IESO Ribera del CEga las indemnizaciones, sanciones o reclamaciones que ésta se vea obligada a satisfacer como consecuencia de dicho incumplimiento.

Fecha de creación 15 de mayo de 2019.

ANEXO II: CONTRATO ENCARGADO DE TRATAMIENTO DE DATOS.

CONTRATO DE ACCESO Y TRATAMIENTO DE DATOS

De una parte,

El IESO Ribera del Cega con CIF S-4700014F con dirección C/ Prolongación Camino hondo s/n 47250 Mojados, Valladolid, en adelante el RESPONSABLE DEL TRATAMIENTO.

Y otra parte,

D._____________________________________, con C.I.F __________,y domicilio en _________________________________ en adelante al ENCARGADO DEL TRATAMIENTO.

Ambas partes se reconocen, mutua y recíprocamente, la capacidad jurídica necesaria para otorgar el presente documento, a cuyos efectos

ACUERDAN:

I. Objeto del encargo de tratamiento.

Mediante las presentes cláusulas se habilita al ENCARGADO DEL TRATAMIENTO, para tratar por cuenta del RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para el desempeño de los servicios contratados por RESPONSABLE DEL TRATAMIENTO.

II. Identificación de la información afectada.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, EL RESPONSABLE DEL TRATAMIENTO, pondrá a disposición del ENCARGADO DEL TRATAMIENTO, toda la información necesaria para prestar el servicio establecido en el contrato que trae causa: ____________________________

Tratamiento de datos: ______________________________(indicar tipos de datos tratados por el encargado), ej.: datos identificativos, DNI, dirección….

Colectivos: ____________________(Alumnos/Familias/Profesores o personal del responsable del tratamiento).

III. Duración.

La duración del presente contrato se regirá por lo establecido en el contrato principal suscrito entre las partes del que trae causa.

IV. Obligaciones del RESPONSABLE DEL TRATAMIENTO.

Corresponde al RESPONSABLE DEL TRATAMIENTO:

a. Facilitar al ENCARGADO DEL TRATAMIENTO todos aquellos datos necesarios para el correcto desempeño del encargo.

b. Cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el RESPONSABLE DEL TRATAMIENTO llevará a cabo una evaluación de impacto de la protección de datos personales de las operaciones de tratamiento a realizar por el encargado; para lo cual podrá solicitar la colaboración del ENCARGADO DEL TRATAMIENTO.

Podrá solicitar la colaboración del ENCARGADO DEL TRATAMIENTO en la realización de la evaluación de impacto de la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO DEL TRATAMIENTO, y en la realización de las consultas previas a la autoridad de control, cuando éstas procedan.

c. Cuando sea necesario, realizará a la autoridad de control correspondiente las consultas previas pertinentes.

d. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del Reglamento General de Protección de Datos (en adelante RGPD) por parte del ENCARGADO DEL TRATAMIENTO.

 V. Obligaciones del ENCARGADO DEL TRATAMIENTO.

El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a tratar los datos de acuerdo con la normativa vigente en materia de protección de datos y bajo las instrucciones del RESPONSABLE DEL TRATAMIENTO de conformidad con lo dispuesto en el Anexo II.a que acompaña al presente contrato.

Siempre y cuando sea necesario, el ENCARGADO DEL TRATAMIENTO se compromete a poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización, en su caso, de las auditorías o las inspecciones que sean necesarias.

VI. Responsabilidad.

Tanto el RESPONSABLE DEL TRATAMIENTO como EL ENCARGADO DEL TRATAMIENTO responderán de la totalidad de los daños y perjuicios que se irroguen a la otra parte en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben, a tenor de lo pactado en el presente acuerdo.

Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la Jurisprudencia, en particular: los desastres naturales, la guerra, el estado de sitio, las alteraciones de orden público, la huelga en los transportes, el corte de suministro eléctrico o cualquier otra medida excepcional adoptada por las autoridades administrativas o gubernamentales.

VII. Confidencialidad.

El ENCARGADO DEL TRATAMIENTO garantiza que mantendrá la más estricta confidencialidad y expreso cumplimiento del deber de secreto profesional en relación con los asuntos del RESPONSABLE DEL TRATAMIENTO durante la vigencia de la prestación de servicios y después de su terminación.

El ENCARGADO DEL TRATAMIENTO durante y con posterioridad a la vigencia de este acuerdo tratará toda información propiedad del RESPONSABLE DEL TRATAMEINTO de forma estrictamente confidencial, tomando las medidas necesarias para que su contenido no se divulgue a terceros, ni estos puedan tener acceso a los mismos sin autorización expresa del RESPONSABLE DEL TRATAMIENTO.

A los efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada por palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que se invente en un futuro, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.

VIII. Notificaciones.

Toda notificación necesaria a los efectos del presente acuerdo se hará por escrito a la atención y dirección de quien consta en el encabezamiento del presente acuerdo.

IX. Generalidades.

Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes.

Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo. Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.

La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro. Los documentos contractuales son, en orden de prioridad, el presente contrato y sus anexos.

X.Legislación y Jurisdicción.

El presente contrato se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales del partido judicial del lugar de la firma.

En Mojados a __ de __________________ ______.

EL RESPONSABLE DEL TRATAMIENTO                                    EL ENCARGADO DEL TRATAMIENTO

Fdo.:                                                                                                   Fdo.:

 ANEXO II.a: OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

I. Finalidad.

El ENCARGADO DEL TRATAMIENTO utilizará los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

II. Registro de actividades de tratamiento.

El ENCARGADO DEL TRATAMIENTO llevará, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO, que contenga:

1. El nombre y los datos de contacto del encargado o encargados del tratamiento y de cada RESPONSABLE DEL TRATAMIENTO por cuenta del cual actúe el encargado y, en su caso, del representante del RESPONSABLE DEL TRATAMIENTO o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada RESPONSABLE DEL TRATAMIENTO.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

− La seudonimización y el cifrado de datos personales.

− La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

− La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

− El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

III. No comunicación.

El ENCARGADO DEL TRATAMIENTO no podrá comunicar datos de carácter personal a terceras personas salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO por ser estos datos necesarios para la ejecución del contrato del que traen causa y en los supuestos legalmente establecidos.

El RESPONSABLE DEL TRATAMIENTO podrá solicitar al ENCARGADO DEL TRATAMIENTO la comunicación, por escrito, de los datos necesarios a fin de garantizar y poder demostrar el correcto desempeño de las funciones que le correspondan. En este caso, el RESPONSABLE DEL TRATAMIENTO identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

IV. Transferencias Internacionales.

Si el ENCARGADO DEL TRATAMIENTO ha de transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sean aplicables, deberá informar al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

V. Subcontratación

El ENCARGADO DEL TRATAMIENTO no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del ENCARGADO DEL TRATAMIENTO.

Si fuera necesario subcontratar algún tratamiento, este hecho deberá ser comunicado previamente y por escrito al RESPONSABLE DEL TRATAMIENTO, con un plazo mínimo de antelación a la necesidad de subcontratación de UN MES indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. El RESPONSABLE DEL TRATAMIENTO deberá autorizar u oponerse, de manera expresa y por escrito, a dicha subcontratación dentro del plazo de ese mismo mes.

El subcontratista, que también tendrá la condición de ENCARGADO DEL TRATAMIENTO, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO DEL TRATAMIENTO y las instrucciones que dicte el RESPONSABLE DEL TRATAMIENTO. Corresponde al ENCARGADO DEL TRATAMIENTO inicial regular la nueva relación de forma que el nuevo ENCARGADO DEL TRATAMIENTO quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el ENCARGADO DEL TRATAMIENTO inicial seguirá siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de las obligaciones.

VI. Deber de secreto y confidencialidad.

El ENCARGADO DEL TRATAMIENTO se comprometerá a mantener el secreto profesional respecto de los datos de carácter personal objeto del tratamiento a los que haya tenido acceso en virtud del presente encargo, debiendo guardar secreto durante el tratamiento incluso con posterioridad a la finalización del mismo. En caso de incumplimiento, el ENCARGADO DEL TRATAMIENTO deberá responder frente al RESPONSABLE DEL TRATAMIENTO, todo ello sin perjuicio de las responsabilidades que se pudieran derivar ante la Agencia Española de Protección de Datos o directamente ante el afectado.

Igualmente deberá garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, a las que deberá informar convenientemente. El ENCARGADO DEL TRATAMIENTO mantendrá a disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de esta obligación.

El ENCARGADO DEL TRATAMIENTO garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

Si existe una obligación de confidencialidad estatutaria deberá quedar constancia expresa de la naturaleza y extensión de esta obligación

El ENCARGADO DEL TRATAMIENTO mantendrá a disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de esta obligación.

VII. Asistencia en el ejercicio de derechos.

El ENCARGADO DEL TRATAMIENTO deberá asistir al RESPONSABLE DEL TRATAMIENTO en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición
2. Limitación del tratamiento
3. Portabilidad de datos
4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo por cualquier medio de comunicación que tenga a su disposición, de forma inmediata, y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud. Deberá acompañar dicha comunicación con toda la información que pueda ser relevante para resolver la solicitud.

VIII. Derecho de información.

Corresponde al RESPONSABLE DEL TRATAMIENTO facilitar el derecho de información en el momento de la recogida de los datos.

IX. Nombramiento de un Delegado de Protección de Datos.

El ENCARGADO DEL TRATAMIENTO, y siempre y cuando le aplique lo establecido en el artículo 37 del RGPD, deberá designar un Delegado de Protección de Datos, así como comunicar la identidad y datos de contacto del mismo al RESPONSABLE DEL TRATAMIENTO.

X. Notificación de violaciones de la seguridad de los datos.

Siempre y cuando afecten a los datos de carácter personal objeto del presente contrato y a los derechos y libertades de las personas físicas, el ENCARGADO DEL TRATAMIENTO deberá notificar al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando se trate de datos que no sean objeto del presente contrato, así como cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Cuando se proceda a la notificación de una violación de seguridad deberá facilitarse, siempre que se disponga de ella, como mínimo la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las apropiadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El RESPONSABLE DEL TRATAMIENTO deberá comunicar a la Autoridad de Protección de Datos, las violaciones de seguridad de los datos que se puedan haber producido como consecuencia del tratamiento de datos por parte del ENCARGADO DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO se compromete a colaborar con el RESPONSABLE DEL TRATAMIENTO con la mayor diligencia posible a fin de que dicha comunicación se realice en los tiempos y modos requeridos por la normativa en vigor. Las comunicaciones realizadas contendrán, como mínimo, toda aquella información indicada en los párrafos anteriores.

XI. Apoyo en las obligaciones del tratamiento de datos.

El ENCARGADO DEL TRATAMIENTO deberá proporcionar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos y de las consultas previas a la autoridad de control, cuando proceda.

XII. Medidas de seguridad.

Independientemente de la categoría de datos de carácter personal que el ENCARGADO DEL TRATAMIENTO va a tratar, debe garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, para lo cual deberá establecer capacidad de un sistema de soportar y recuperarse ante ataques.

En todo caso, el ENCARGADO DEL TRATAMIENTO deberá verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. Asimismo, y siempre que sea posible, será necesario seudonimizar y cifrar los datos personales.

En el supuesto de que durante la prestación de los servicios se lleve a cabo algún tratamiento de datos de carácter sensible (por ejemplo, huella digital u otros datos biométricos), el RESPONSABLE DEL TRATAMIENTO valorará la necesidad de ampliar las medidas de seguridad a aplicar, siendo estas más exhaustivas en relación con el tratamiento, por medio de nuevos Anexos a este contrato o que puedan garantizarse a través de una certificación.

XIII. Destino de los datos al finalizar la prestación.

El ENCARGADO DEL TRATAMIENTO devolverá a la finalización de la prestación de servicios, al RESPONSABLE DEL TRATAMIENTO o al tercero que este le indique, cuantos soportes o documentos contengan datos de carácter personal derivados de dicha prestación, dentro de los 15 días después de que la solicitud surta efecto.

En el supuesto de que el RESPONSABLE DEL TRATAMIENTO le inste a su destrucción, el ENCARGADO DEL TRATAMIENTO deberá entregar al RESPONSABLE DEL TRATAMIENTO un certificado que acredite la destrucción segura de los datos en un plazo máximo de cuatro meses tras la finalización del servicio.

No obstante, EL ENCARGADO DEL TRATAMIENTO deberá conservar los datos cuando así se lo exija una obligación legal y conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el RESPONSABLE DEL TRATAMIENTO.

En ____________, a __ de __________________ de ______.

EL RESPONSABLE DEL TRATAMIENTO                                    EL ENCARGADO DEL TRATAMIENTO

Fdo.:                                                                                                   Fdo.: