CLÁUSULAS

Primera.- Objeto

Es objeto de las presentes Condiciones Generales es la contratación y designación de GRUPO ADAPTALIA como Delegado de Protección de Datos (en adelante, «DPO_») y el desarrollo de las funciones y obligaciones competentes de ambas PARTES en el marco de la prestación del servicio, de conformidad con los artículos 37, 38 y 39 RGPD y artículos 34,35,36 y 37 LOPDGDD.

Segunda.- Funciones y obligaciones de las PARTES para la prestación del servicio de GRUPO_ ADAPTALIA como DPO

2.1. Funciones y obligaciones de GRUPO ADAPTALIA como DPO

Corresponde a GRUPO ADAPTALIA:

a) Comunicar sus datos de contacto como DPO a la Agencia Española de Protección de Datos (en adelante, «AEPD») en nombre y representación del CLIENTE y llevar a cabo cualquier otra actuación, trámite o gestión que sea necesaria ante la autoridad de control en el marco de la prestación del servicio, de conformidad con el ANEXO 1. AUTORIZACIÓN DE REPRESENTACIÓN, establecido en el Contrato de Prestación de servicios, que deben rellenar y firmar igualmente ambas PARTES.

b) Informar y asesorar al CLIENTE y, en especial, a las personas designadas responsables en materia de protección de datos, a las personas de contacto y a los empleados que se ocupen del tratamiento, sobre las obligaciones del Reglamento General de Protección de Datos, la LOPDGDD y demás legislación española aplicable en materia de protección de datos al sector de la de actividad del CLIENTE (en lo sucesivo, «normativa sobre protección de datos»).

c) Supervisar de forma continua el cumplimiento de lo dispuesto en la normativa sobre protección de datos, debiendo con carácter enunciativo y no limitativo:

  • Recabar información para la elaboración del Registro de Actividades de Tratamiento; analizar y comprobar que las actividades de tratamiento son conformes a la normativa; y recomendar, a la luz de las actividades descritas, las medidas técnicas organizativas apropiadas para cada una de ellas a fin de garantizar y poder demostrar el cumplimiento de la normativa sobre protección de datos.
  • Supervisar las políticas de protección de datos del CLIENTE, tanto a nivel organizativo como a nivel externo con clientes y proveedoreslo que incluye:

i. La revisión de protocolos internos para garantizar la confidencialidad y seguridad de los datos personales.

ii. Las cláusulas legales donde se informe a los clientes y potenciales sobre el tratamiento de sus datos.

iii. Los contratos de encargado del tratamiento con los prestadores de servicios que puedan acceder y/o tratar los datos de carácter personal por cuenta del CLIENTE.

  • Supervisar la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, debiendo velar porque las personas responsables en materia de protección de datos dentro de la organización y los empleados que acceden y/o traten datos, tengan unos conocimientos suficientes sobre la normativa de protección de datos en función del puesto y las funciones desempeñadas.
  • Supervisar las auditorías realizadas en materia de protección de datos.

d) Ofrecer el asesoramiento que solicite el CLIENTE acerca de la evaluación de impacto relativa a la protección de datos (en adelante, «EIPD») y supervisar su aplicación informándole, _entre otras, sobre las siguientes cuestiones:

  • Si debe llevarse a cabo o no una EIPD.
  • Qué metodología debe seguirse al llevar una evaluación de impacto.
  • Qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los particulares.
  • Si la EIPD se ha llevado a cabo correctamente o no y si sus conclusiones son conforme al RGPD.

e) Cooperar con la autoridad de control y actuar como punto de contacto ante cualquier cuestión relativa al tratamiento de los datos personales y, en especial, cuando:

  • La autoridad de control ejerza sus poderes de investigación, correctivos, de autorización y consultivos.
  • Se haya llevado a cabo una EIPD, y se concluya que el CLIENTE no puede adoptar medidas técnicas y organizativas para reducir el riesgo hasta un nivel considerado aceptable.
  • El CLIENTE desee consultar a la autoridad de control sobre cualquier asunto.

f) Actuar como intermediario entre los interesados y el CLIENTE, sobre todo, en los casos de reclamación. En este sentido, los interesados podrán ponerse en contacto con GRUPO ADAPTALIA para plantearle cualquier cuestión relativa al tratamiento de sus datos personales, dirigirle las solicitudes de ejercicio de derechos o acudir a él con carácter previo a la presentación de una reclamación ante la autoridad de control. Respecto a este último caso, si el interesado decidiese acudir a GRUPO ADAPTALIA como DPO antes de presentar una reclamación ante la AEPD o las autoridades autonómicas de protección de datos, deberá comunicar al afectado la decisión que se hubiera adoptado en el plazo máximo de dos (2) meses a contar desde la recepción de la reclamación. Si, por el contrario, el interesado presentara directamente la reclamación ante la AEPD o las autoridades de control autonómicas, éstas podrán remitir la reclamación a GRUPO ADAPTALIA a fin de que responda en el plazo de un (1) mes.

g) Desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento (“enfoque basado en el riesgo”). Ello no implica que GRUPO ADAPTALIA deba desatender la supervisión de la observancia de las normas en las operaciones de tratamiento que tengan comparativamente menor riesgo, sino que debe centrarse principalmente en los ámbitos de mayor riesgo.

Así, a título de ejemplo, este enfoque selectivo y pragmático permitirá asesorar al CLIENTE sobre:

  • Qué metodología usar si se realiza una EIPD.
  • Cuándo y cómo debe realizarse una auditoría de protección de datos.
  • Qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos.
  • A qué operación de tratamiento dedicar más tiempo y recursos.

h) Guiar al CLIENTE sobre cómo actuar ante una violación de seguridad, y asesorarle sobre si debe notificarse a la AEPD en el plazo de setenta y dos (72) horas (en cuyo caso lo haría GRUPO ADAPTALIA en su representación) y, si además, debe comunicarse a los afectados.

i) Programar reuniones presenciales, videoconferencias o llamadas telefónicas con el CLIENTE, según sus necesidades, a efectos de que GRUPO ADAPTALIA pueda, mediante check _list, verificar la realidad de los tratamientos, y ejercer sus labores de asesoramiento y supervisión. Tras los _check _list, se emitirá un informe de seguimiento por GRUPO ADAPTALIA.

2.2. Funciones y obligaciones del CLIENTE como Responsable del Tratamiento

Para garantizar el desarrollo adecuado de las funciones de GRUPO ADAPTALIA como DPO, el CLIENTE deberá:

a) Publicar los datos de contacto del DPO y comunicarlo internamente. Tras la designación de GRUPO ADPTALIA como DPO, es menester del CLIENTE:

  • Publicar sus datos de contacto en las políticas de privacidad expuestas a los interesados.
  • Comunicar su designación a los empleados.

Los datos de contacto incluirán información que permita a los interesados y empleados comunicarse con el DPO de forma fácil, por ejemplo, mediante una dirección postal, un número de teléfono específico o una dirección de correo específica.

b) Permitir su participación en todas las cuestiones relativas a la protección de datos personales, de forma que el DPO sea considerado como un interlocutor dentro de la organización y forme parte de los correspondientes grupos de trabajo que se ocupen de las actividades de tratamiento.

En consecuencia, la organización deberá garantizar que:

  • Se invita al DPO a participar con regularidad en las reuniones con los cuadros directivos altos y medios.
  • Está presente cuando se toman decisiones con implicaciones para la protección de datos.
  • Se tiene debidamente en cuenta la opinión del DPO de forma que, en caso de desacuerdo, el CLIENTE debe documentar los motivos por los que no se sigue el consejo del DPO.
  • Se consulta con prontitud una vez que se haya producido una violación de seguridad de los datos o cualquier otro incidente (no más de veinticuatro (24) horas desde su conocimiento).

c) Garantizar su independencia. El CLIENTE debe ser capaz de velar en todo momento por que el DPO desempeña sus funciones y cometidos de forma autónoma e independiente. Por tanto, GRUPO ADAPTALIA no podrá recibir ninguna instrucción relativa al ejercicio de sus tareas a fin de garantizar el debido cumplimiento de la normativa por la organización. Así, no podrá recibir instrucciones sobre el modo de ocuparse de un asunto como: el resultado que debe alcanzarse, la forma de resolver una queja o sobre si debe consultarse a la autoridad competente.

d) No destituirlo ni sancionarlo. EL CLIENTE tampoco podrá destituirlo o sancionarlo si está en desacuerdo con la valoración o los consejos del DPO en tanto ello supondría quebrantar su autonomía, independencia e imparcialidad en el desarrollo de sus funciones.

e) Proporcionarle recursos necesarios. El CLIENTE debe respaldar al DPO proporcionándole los recursos necesarios para que lleve a cabo sus tareas y acceda a los datos personales y operaciones de tratamiento.

Siendo esto así, el CLIENTE deberá garantizar especialmente los siguientes aspectos:

  • Facilitar a GRUPO ADAPTALIA el acceso a los servicios y departamentos de toda la empresa (departamento de recursos humanos, departamento TIC, etc) a efectos de tener un mayor conocimiento sobre el tratamiento de los datos que realiza cada departamento y poder, de este modo, desempeñar sus funciones de forma más eficaz. Igualmente, la alta dirección debe estar fácilmente accesible y mostrar su apoyo activo a la labor del DPO de forma que GRUPO ADAPTALIA pueda recabar información relevante para la resolución de cualquier cuestión en materia de protección de datos.
  • Conceder tiempo suficiente a GRUPO ADAPTALIA para desempeñar sus funciones y resolver las consultas planteadas. GRUPO ADAPTALIA se compromete a contestar en un plazo máximo de veinticuatro (24) horas. Ahora bien, el desarrollo de sus funciones y el tiempo de resolución efectivo de las consultas planteadas, dependerá de cuán compleja sea la cuestión, de la información facilitada por el CLIENTE y de la necesidad de acudir a otras fuentes de información que pueden no estar fácilmente accesibles o disponibles.

f) Reportar cualquier iniciativa de cambio o modificación en el tratamiento de los datos, así como cualquier tipo de cuestión o duda que le haya surgido al CLIENTE. Esta información podrá facilitarse:

  • Mediante consultas vía mail o llamada telefónica.
  • A través de las reuniones presenciales o videoconferencias, que tendrán lugar entre el equipo de trabajo de GRUPO ADAPTALIA y las personas de la organización implicadas en el tratamiento.

Tercera.- No conflicto de intereses

De conformidad con la normativa sobre protección de datos, nada obsta a que el CLIENTE pueda nombrar como DPO a una persona jurídica, siempre y cuando no exista un conflicto de intereses entre las personas del equipo de trabajo.

A tales efectos:

  • Aunque la constitución del DPO en equipo de trabajo, permite combinar las destrezas y puntos fuertes individuales de varios profesionales especializados en materia de protección de datos GRUPO ADAPTALIA, con la finalidad de entablar comunicaciones entre el CLIENTE y GRUPO ADAPTALIA como DPO, designará a una persona física de contacto.
  • GRUPO ADAPTALIA cuenta con una política interna que evita que el equipo de trabajo que desempeña las funciones de DPO para el CLIENTE, sea el mismo que realice las auditorías y/o evaluaciones de impacto, a fin de evitar poner en riesgo las labores de supervisión e imparcialidad.

Cuarta.- Precio y forma de pago

El precio y la forma de pago vendrán definidos en el contrato de prestación de servicio principal, firmado entre el cliente y la compañía.

Al precio fijado en el contrato de prestación de servicios principal, le será repercutido el impuesto sobre el valor añadido (I.V.A.) al tipo legal correspondiente. En el caso que se produzca modificación de los tipos impositivos, la cantidad a repercutir en concepto de IVA será modificada en la que resulte de aplicar los tipos vigentes en la fecha de devengo.

Igualmente, se procederá a la actualización de la tarifa de los servicios contratados, en la fecha en que se cumpla cada año de vigencia del contrato, aplicando a las cantidades anteriormente señaladas el incremento porcentual experimentada por el índice General Nacional del Sistema de índices de Precios de Consumo, en un período de doce meses inmediatamente anteriores a la fecha de actualización, tomando como referencia para la primera actualización el que corresponde al último índice que estuviera publicado en la fecha de celebración del contrato, y en las sucesivas el que corresponda al último aplicado. En ningún caso la demora en practicar la revisión de la renta supondrá renuncia a ella

Así mismo, las cuotas pagadas y disfrutadas correspondientes al anterior contrato de implantación, quedan regularizadas por el presente contrato.

Los gastos extraordinarios que, en su caso, se pudieran ocasionar (viajes, dietas, desplazamientos, etc.) serán facturados aparte, previa liquidación de gastos y previo acuerdo entre las PARTES.

El CLIENTE se compromete a tener liquidez suficiente para soportar el importe de cada una de las cuantías en el plazo acordado. Caso contrario, GRUPO ADAPTALIA reclamará extrajudicialmente el importe a través de correo electrónico y/o mediante la realización de llamadas a los teléfonos que el CLIENTE hubiera puesto a su disposición en el momento de la contratación. Si en el plazo de diez (10) días desde la reclamación extrajudicial el CLIENTE incumple o cumple defectuosa o parcialmente las obligaciones derivadas del Contrato, GRUPO ADAPTALIA procederá a introducir sus datos en sistemas comunes de información crediticia relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito, salvo que la cuantía del principal sea inferior a 50 €, de acuerdo con lo establecido en el artículo 20 y Disposición Adicional Sexta LOPDGDD. El CLIENTE incurrirá en mora a partir del día siguiente de las fechas estipuladas para cualquiera de los pagos acordados.

Quinta.- Duración del contrato

La duración del contrato vendrá determinada en el contrato de prestación de servicio principal, firmado entre el cliente y la compañía.

Sexta.- Obligaciones de las PARTES respecto al cumplimiento del contrato

6.1. Obligaciones de GRUPO ADAPTALIA: Sin perjuicio de las obligaciones específicas descritas anteriormente para el servicio contratado, GRUPO ADAPTALIA se compromete a:

a) Realizar la prestación de los servicios contratados de manera diligente, conforme con sus conocimientos y experiencia profesionales, así como los usos y costumbres del sector de actividad, de manera puntual y/o en los plazos específicos establecidos y aceptados por el cliente, en su caso;

b) Actuar con la más absoluta confidencialidad, y con pleno respeto al secreto profesional que le rija. Se excluye expresamente toda información que haya de ser revelada de acuerdo con las leyes o con una resolución judicial o acto de la autoridad competente;

c) Utilizar las informaciones, datos o documentos del cliente que éste le entregue o a la que tenga acceso por cualquier motivo, directa o indirectamente, para la prestación de servicios contratados y para los fines explicitados en las presentes condiciones de contratación.

6.2. Obligaciones del CLIENTE:

a) Sin perjuicio de las obligaciones específicas para el servicio contratado, el CLIENTE se compromete a colaborar con GRUPO ADAPTALIA para el pacífico desarrollo de la prestación de los servicios contratados y en concreto a facilitar a GRUPO ADAPTALIA toda la información solicitada por GRUPO ADAPTALIA que sea útil, necesaria y/o relevante para la adecuada ejecución de los servicios contratados, asegurando su actualidad, veracidad, corrección e integridad.

b) Realizar los pagos en los términos expuestos en el presente contrato.

Séptima.- Confidencialidad

Cualquier información revelada de forma oral o por escrito de los propósitos del presente acuerdo y en concreto con el fin de negociar, otorgar o ejecutar el mismo, será considerada por las PARTES como Información Confidencial, salvo que se indique lo contrario por aquella parte que haya proporcionado esa información, sin que ninguna de esas informaciones pueda ser revelada a terceras PARTES sin el previo consentimiento por escrito.

La Información proporcionada, no será utilizada, sin el previo consentimiento de la parte que facilita dicha información, para otro fin que no sea el previsto en el presente contrato.

Las PARTES proporcionarán acceso a la Información recibida sólo a los empleados, filiales, socios, personas físicas o jurídicas que hayan sido empleados o contratados directamente por ellas, cuando sea necesario para llevar a cabo los propósitos en común de ambas PARTES.

Las PARTES se comprometen desde este momento a que todos aquellos a los que proporcione Información, de los descritos anteriormente, cumplirán con los términos de la presente cláusula, aceptando la responsabilidad por incumplimiento de cualquiera de los pactos aquí recogidos.

Cualquiera de las PARTES informará inmediatamente a la otra si se produce una revelación de Información prohibida o no autorizada. Si esto llegara a ocurrir, la parte perjudicada tomará las medidas oportunas para prevenir cualquier revelación de Información posterior.

Las obligaciones antedichas no serán de aplicación a aquella Información que:

(a) sea de dominio público en el momento de la revelación, en el bien entendido que no sea por un incumplimiento de las PARTES.

(b) que deba ser revelada como consecuencia de una exigencia legal o por un

requerimiento de una Autoridad Administrativa o Tribunal.

En ningún caso, nada de lo previsto en el presente documento podrá ser interpretado como una cesión o atribución de facultades a la parte receptora de la información, ni de forma expresa ni implícita, ni como una licencia de un derecho de propiedad intelectual o industrial, ni cualquier otro derecho concerniente con la Información.

La parte receptora de Información asume ante la parte reveladora de Información una responsabilidad directa por causa de cualquier pérdida o daños irrogados a esta última como resultado de una revelación o una utilización impropia de la Información proporcionada por ella misma o por cualquiera de sus empleados, socios, filiales, etc.

Las PARTES se comprometen a mantener vigente el compromiso recogido en la presente cláusula de confidencialidad aún después de haber terminado sus relaciones y el objeto para el cual se suscribe.

Octava.- Protección de datos

8.1. Datos personales de los representantes legales y personas de contacto. De conformidad con el RGPD y la LOPDGDD, las PARTES se informan recíprocamente que los datos de los representantes legales arriba firmantes y, en su caso, de las personas de contacto (nombre y apellidos, DNI, correo electrónico, funciones desempeñadas, etc) pasarán a formar parte de una actividad de tratamiento de la otra parte con la finalidad de gestionar la relación contractual y favorecer la comunicación entre las PARTES.

Los datos serán conservados como mínimo hasta la finalización del contrato y, más allá de su extinción, durante los plazos de prescripción de las acciones legales.

La base de legitimación para el tratamiento de los datos es la ejecución del contrato.

Las PARTES se informan que no cederán los datos de los representantes legales ni de las personas de contacto a terceras PARTES, salvo que medie consentimiento expreso o en cumplimiento de una obligación legal.

En cualquier momento, las PARTES podrán ejercitar sus derechos de acceso, rectificación, supresión, portabilidad de los datos, limitación u oposición a su tratamiento, así como a no ser objeto de decisiones automatizadas, cuando procedan, a la dirección postal del encabezamiento o a un correo electrónico que se hayan facilitado de común acuerdo.

Si alguna de las PARTES, considera que los datos no son tratados correctamente por la otra parte o que las solicitudes de ejercicio de derechos no han sido atendidas de forma satisfactoria, tienen el derecho a presentar una reclamación a la autoridad de protección de datos que corresponda, siendo la Agencia Española de Protección de Datos la indicada en el territorio nacional, www.aepd.es .

8.2. Datos personales de los que es Responsable del Tratamiento el CLIENTE_: Para el correcto desempeño de las funciones como DPO, en ocasiones, es necesario que GRUPO ADAPTALIA acceda o trate los datos de carácter personal de los que el CLIENTE es Responsable del Tratamiento, como lo son los datos identificativos (DNI, nombre y apellidos, correo electrónico, etc) de sus clientes, proveedores, potenciales clientes y/o proveedores, empleados, incluso, de terceros.

En estos casos, GRUPO ADAPTALIA actuará como Encargado de Tratamiento de conformidad con el artículo 28 RGPD y artículo 33 LOPDGDD, en virtud de lo dispuesto en el ANEXO. CONTRATO DE ENCARGADO DE TRATAMIENTO.

Novena.- Ineficacia parcial

En el caso de que por cambios legislativos devenga ineficaz una parte del presente contrato, el resto seguirá en vigor, salvo que la ineficacia afectara a una parte sustancial del mismo. Las PARTES negociarán de buena fe la redacción de una cláusula que sustituya a la parte afectada por la ineficacia, cuyo espíritu sea lo más parecido posible al sentido original, pero que su interpretación sea legalmente aceptable.

Décima.- Relación de carácter mercantil

La relación entre las PARTES tiene exclusivamente carácter mercantil, sin que exista una relación de carácter laboral entre el GRUPO ADAPTALIA y el CLIENTE, o entre el personal trabajador o subcontratado de GRUPO ADAPTALIA y el CLIENTE.

En ningún caso el personal trabajador de GRUPO ADAPTALIA podrá considerarse, de hecho o de derecho, como un empleado del CLIENTE como consecuencia de la celebración o cumplimiento del presente contrato, y por ello dependerá a todos los efectos oportunos única y exclusivamente de GRUPO ADAPTALIA, incluyendo los aspectos laborales, de prevención de riesgos laborales y de Seguridad Social.

Undécima.- Cómputo de plazos

Salvo cuando expresamente se establezca lo contrario en el contrato o en cualquiera de sus anexos: (i) los plazos expresados en “días” se refieren a días naturales, contados a partir del día natural inmediatamente siguiente al del inicio del cómputo, inclusive, hasta el último día natural del plazo, inclusive; (ii) los plazos expresados en “días hábiles” se refieren a días hábiles en la localidad donde se deba cumplir con la obligación que lleve aparejada el plazo; y, (iii) los plazos expresados en meses o años se contarán de fecha a fecha desde el día de inicio del cómputo hasta el mismo día del último del plazo (ambos incluidos), salvo que en el último mes o año del plazo no existiese tal fecha, en cuyo caso el plazo terminará el día inmediatamente anterior.

Duodécima. Responsabilidad

El DPO, supervisa y asesora en materia de protección de datos, pero es el CLIENTE el Responsable del Tratamiento y, por tanto, el encargado de cumplir con dicha normativa.

Por ello, GRUPO ADAPTALIA nunca responderá de las sanciones que pudieran imponerse al CLIENTE por la Agencia Española de Protección de Datos o cualquier tribunal a causa del incumplimiento de la normativa sobre protección de datos y tan sólo se le podrá exigir responsabilidad por la mala praxis en el asesoramiento

Al respecto, GRUPO ADAPTALIA cuenta con un seguro de Responsabilidad Civil de 1.000.000 € para la salvaguarda de sus clientes en actuaciones derivadas de la posible deficiencia en el servicio de asesoramiento y consultoría para el cumplimiento de la normativa sobre protección de datos.

Décimo tercera.- Resolución

El contrato quedará resuelto, además de por las causas previstas legalmente, por incumplimiento de las obligaciones pactadas en este contrato.

Si el contrato se resolviera por incumplimiento imputable al CLIENTE, GRUPO ADAPTALIA retendrá las cantidades entregadas a cuenta, sin perjuicio del derecho a la reclamación por daños y perjuicios que en su caso pudiera corresponderle.

Décimo cuarta.- Legislación aplicable y jurisdicción

El presente Contrato se rige por la legislación española. En caso de traducción del mismo a otro idioma, prevalecerá la versión e interpretación del Contrato en idioma español.

Para lo no previsto en este Contrato las PARTES actuarán con arreglo a la legislación vigente. Los posibles litigios se resolverán sometiéndose a los Tribunales de la ciudad de Madrid. Renunciando de forma expresa a cualquier otro foro que pudiera ser competente o resultase de aplicación.

ANEXO. CONTRATO DE ENCARGADO DE TRATAMIENTO

De una parte, EL CLIENTE, (en adelante, «RESPONSABLE DEL TRATAMIENTO» o «RESPONSABLE»).

De otra parte, GRUPO ADAPTALIA LEGAL-FORMATIVO, S.L. con domicilio en C/ Julián Camarillo nº 26, 4ª izquierda, 28037, Madrid, España y NIF B86260247 (en adelante, «ENCARGADO DEL TRATAMIENTO» o «ENCARGADO»).

MANIFIESTAN

  1. Que ambas PARTES se encuentran vinculadas por una relación contractual de carácter mercantil para la prestación de los servicios como Delegado de Protección de Datos (en adelante, el «SERVICIO»), en virtud del contrato de prestación de servicios firmado entre las partes.
  2. Que, en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, «RGPD») y artículo 33 de la Ley 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales (en adelante, «LOPDGDD»), las PARTES de forma libre y espontánea voluntad acuerdan regular el tratamiento de los datos de carácter personal de conformidad con las siguientes:

CLÁUSULAS

  1. OBJETO DEL ENCARGO DEL TRATAMIENTO

Mediante las presentes cláusulas se habilita al ENCARGADO DE TRATAMIENTO, por cuenta del RESPONSABLE DEL TRATAMIENTO, el tratamiento de los datos de carácter personal necesarios para prestar el SERVICIO.

El ENCARGADO únicamente realizará los tratamientos estrictamente necesarios para la prestación del referido servicio, no pudiendo llevar a cabo acciones no permitidas por el RESPONSABLE.

  1. IDENTIFICACIÓN DE LOS DATOS PERSONALES E INTERESADOS

Para la ejecución de las prestaciones derivadas del cumplimiento del referido contrato de prestación de servicios, el RESPONSABLE DEL TRATAMIENTO pone a disposición del ENCARGADO DEL TRATAMIENTO, la información que se describe a continuación:

2.1. Categoría de interesados y datos personales objeto de tratamiento:

Clientes

Nombre, apellidos, DNI, correo electrónico, dirección postal, puesto/cargo, datos relativos a posibles denuncias efectuadas por clientes.

Proveedores

Nombre, apellidos, DNI, correo electrónico, dirección postal, puesto/cargo, datos relativos a posibles denuncias efectuadas por proveedores.

Empleados

Nombre, apellidos, DNI, correo electrónico, puesto/cargo, datos relativos a posibles denuncias efectuadas por empleados y contra empleados.

Terceros

Nombre, apellidos, DNI, correo electrónico, dirección postal, puesto/cargo, datos relativos a posibles denuncias efectuadas por clientes.

2.2. Naturaleza del tratamiento:

Lectura

Para una correcta prestación del servicio como Delegado de Protección de Datos, GRUPO ADAPTALIA visualizará determinados datos de carácter personal.

Análisis

Asimismo, en determinadas ocasiones será necesario efectuar un análisis de dichos datos, en orden a comprobar el correcto cumplimiento de la normativa.

Conservación

En determinadas ocasiones será necesario efectuar la conservación de dichos datos, en orden a comprobar el correcto cumplimiento de la normativa y a realizar cualquier gestión referente al cumplimiento de la misma.

Comunicación

Además, será necesario efectuar una comunicación de dichos datos en la gestión de tramites, resolución de consultas, etc.

3. DURACIÓN

La duración del presente contrato quedará supeditada a la continuidad del servicio principal contratado, siendo renovado automáticamente salvo decisión en contra por alguna de las PARTES.

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a:

    1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su tratamiento, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios o diferentes a los establecidos por el RESPONSABLE.
    2. Tratar los datos de acuerdo con las instrucciones documentadas del RESPONSABLE que, en todo caso, implicará la prohibición de efectuar como consecuencia de la prestación del servicio transferencias internacionales que requieran de solicitud de autorización a la autoridad de control por tratarse de países y/u organizaciones que no cumplan con un nivel adecuado de protección o no se cuente con las garantías necesarias para llevar a cabo la exportación de los datos personales. Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al RESPONSABLE.
    3. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad, el secreto profesional y a cumplir las medidas de seguridad correspondientes, de las que hay que sensibilizar, formar e informar convenientemente. El deber de secreto y confidencialidad respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo perdurará indefinidamente.
    4. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del ENCARGADO. Si fuera necesario subcontratar algún tratamiento, este subcontratista o SUBENCARGADO, que también tiene la condición de encargado de tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO y las instrucciones que dicte el RESPONSABLE. Corresponde al ENCARGADO inicial regular la nueva relación de forma que el SUBENCARGADO quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte de Subencargado, el Encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
    5. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga al menos:- El nombre y los datos de contacto del RESPONSABLE por cuenta del cual actúa como ENCARGADO y, en su caso, del representante del RESPONSABLE o del ENCARGADO y del delegado de protección de datos, si lo tuviera.- Las categorías de tratamientos efectuados por cuenta del RESPONSABLE.-En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, cuando sean necesarias, la documentación de garantías adecuadas adoptadas.

      – Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que incluyan, con carácter enunciativo y no limitativo:

      i. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

      ii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

      iii. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

      iv. La pseudonimización y el cifrado de datos personales, en su caso.

      Este Registro deberá estar a disposición y se facilitará al Responsable y a la autoridad de control, si así lo solicitara, no sin antes consensuarlo con el Responsable.

    6. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE del tratamiento, o en los supuestos legalmente admisibles.El ENCARGADO comunicará los datos a otros ENCARGADOS del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos comprometidos y las medidas de seguridad a aplicar para proceder a la comunicación.El ENCARGADO mantendrá a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de las obligaciones de comunicación a terceros y/o transferencias.
    7. Asistir al RESPONSABLE del tratamiento, teniendo en cuenta la naturaleza del mismo y a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que éste pueda dar cumplimiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos personales y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).Cuando los interesados ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el ENCARGADO del tratamiento, éste debe comunicarlo al correo electrónico facilitado por el RESPONSABLE. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del tercer (3) día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud
    8. El ENCARGADO del tratamiento notificará al RESPONSABLE del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de cuarenta y ocho (48) horas, teniendo en cuenta que la norma establece un plazo máximo de setenta y dos (72) horas, desde que se tenga constancia, y a través del correo electrónico facilitado por el RESPONSABLE, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación al RESPONSABLE, cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
    9. Dar apoyo al RESPONSABLE de la realización de las evaluaciones de impacto relativas a la protección de datos y de las consultas previas a la autoridad de control, en su caso y cuando proceda, conforme a la normativa de protección de datos que resulte de aplicación y/o a las instrucciones que emita la autoridad de control nacional.
    10. Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la normativa de protección de datos, así como permitir la realización de auditorías, incluidas inspecciones, que pudiera realizar el RESPONSABLE u otro auditor designado por éste. Para este tipo de acciones, se establece un aviso previo por escrito de un (1) mes.
    11. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.A efectos de determinar las medidas de seguridad objeto de implantación, habrá que atender al análisis de riesgos, y evaluación de impacto, si procediera, en la que se determinará las medidas más adecuadas para garantizar la seguridad del tratamiento, las cuales deberán ser adoptadas, documentando todo lo actuado. En cualquier caso, podrán acordarse aquellas que se establezcan en códigos de conducta, sellos, certificaciones o cualquier norma o estándar internacional actualizado de cumplimiento de protección de datos y seguridad de la información.
    12. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al RESPONSABLE, si es que procede y en su caso.

    6. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

    Por su parte, las obligaciones del RESPONSABLE son las siguientes:

    1. Entregar al ENCARGADO los datos a los que se refiere la cláusula 2 de este contrato.
    2. Dar las instrucciones que correspondan para llevar a cabo el tratamiento. Realizar análisis de riesgos y una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO, cuando proceda.
    3. Realizar las consultas previas que correspondan.
    4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
    5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

    7. DESTINO DE LOS DATOS

    Una vez finalizada la prestación del servicio, el ENCARGADO deberá conforme a las instrucciones del RESPONSABLE:

    Devolverle los datos de carácter personal y, si procede, los soportes donde consten; destruirlos; o entregárselos a un nuevo ENCARGADO que designe por escrito el RESPONSABLE.

    En caso de que se opte por la devolución, ésta debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el ENCARGADO, también en las copias de seguridad. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación o tenga obligación legal para ello.

    8. EXONERACIÓN DE RESPONSABILIDAD

    El RESPONSABLE DEL TRATAMIENTO queda exonerado de la responsabilidad que se pudiera generar por el incumplimiento imputable del ENCARGADO DEL TRATAMIENTO respecto de las cláusulas del presente anexo, así como de lo previsto en el RGPD y la normativa nacional que resulte aplicable, en cuyo caso será considerado como Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente ante las Autoridades de Protección de Datos, así como de las reclamaciones civiles y penales que los afectados por el incumplimiento puedan interponer ante la jurisdicción ordinaria.

    9. LEGISLACIÓN Y JURISDICCIÓN

    El presente contrato contempla las exigencias de la legislación española y europea vigente en materia de protección de datos personales, particularmente por lo establecido en el RGPD y LOPDGDD.

    Las PARTES con expresa renuncia de su fuero, someten todas las interpretaciones y/o conflictos que pudieran surgir derivados de este contrato a los Juzgados y Tribunales del Madrid.

Suscribete a nuestra Newsletter