CONTRATO ENCARGADO DE TRATAMIENTO

Las Partes descritas en la Condiciones Particulares de Contratación ejerciendo cada una de ellas las figuras de Encargado de Tratamiento (por parte de Nedtel) y Responsable de Tratamiento (por parte del Cliente), desean dar cumplimiento a lo dispuesto en el art. 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, para lo cual las Partes se encuentran interesadas en suscribir el presente contrato de encargo de tratamiento de datos personales, el cual formalizan de común acuerdo, sobre las siguientes.

ESTIPULACIONES_

1. Objeto del Encargo de Tratamiento

Mediante las presentes cláusulas, se habilita a el Encargado de Tratamiento, para tratar por cuenta del Responsable de Tratamiento, la información necesaria para la correcta prestación del servicio indicado en Contrato suscrito entre ambas partes, que en ocasiones puede implicar el tratamiento de datos de carácter personal.

La prestación de los servicios podrá ejecutarse en los propios sistemas del Responsable de tratamiento, de manera presencial o remota, o en los sistemas del Encargado de Tratamiento, previa descarga de los datos, y aplicando las medidas de seguridad establecidas en el presente contrato.

2. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo el Responsable de Tratamiento pone a disposición del Encargado de Tratamiento cuanta información fuera necesaria para el correcto desarrollo de los trabajos y servicios señalados en las Condiciones Particulares de Contratación.

Los tipos de tratamiento que el Encargado de Tratamiento realizará para el Responsable de Tratamiento, siguiendo sus instrucciones, son las siguientes:

– Datos de categoría especial (Datos que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticos y datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a salud, datos relativos a la vida sexual o orientación sexual.

– Datos relativos a condenas e infracciones penales

Datos identificativos (Nombre y Apellidos, NIF o DNI, Dirección, Correo electrónico, Móvil, Firma manual, imagen, etc.)

Datos de características personales (Edad, Estado civil, fecha de nacimiento, género, lugar de nacimiento, nacionalidad, etc.)

Datos de circunstancias sociales (Propiedades, características de vivienda, aficiones, licencias o permisos, situación familiar, etc.)

Datos académicos y profesionales (Formación, titulaciones, colegiación, datos del puesto de trabajo, experiencia profesional, etc.)

Datos económicos y transacciones (Ingresos, rentas, tarjetas de crédito o débito, plan de pensiones, préstamos, subsidios, seguros, datos económicos de nómina, indemnizaciones, transacciones financieras)

– Otros datos (especificar):

– No se realiza tratamiento de datos personales y/o han sido previamente encriptados para impedir el acceso el acceso por parte del encargado de tratamiento.

Los tipos de tratamiento señalados en el presente Contrato de Encargado de Tratamiento son los habituales en base a los servicios y productos contratados por el Cliente. La ampliación de productos o servicios que requieran nuevos tipos de tratamiento implicará la modificación y aceptación tácita por las Partes respecto a la protección de los Datos Personales.

3. Duración

La duración del presente contrato se extenderá mientras dure la relación contractual entre el Responsable de Tratamiento y el Encargado de Tratamiento.

Una vez finalizado el presente contrato, el Encargado de Tratamiento deberá devolver la información y documentos derivados del mismo al responsable de tratamiento, o a quién este le indique en el momento de la extinción de la relación contractual.

En todo caso, el Encargado de Tratamiento podrá conservar una copia, con la información debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

4. Obligaciones del Responsable del Tratamiento

Corresponde al responsable del tratamiento:

  1. Entregar al encargado del tratamiento los datos necesarios para la correcta prestación del servicio.
  2. Proporcionar las instrucciones al encargado del tratamiento por escrito.
  3. Proporcionar el acceso a los datos al encargado del tratamiento de forma que se garantice la seguridad y confidencialidad de los mismos, y con cumplimiento de las normas vigentes en materia de protección de datos.
  4. Velar por el cumplimiento de la normativa por parte del encargado del tratamiento, incluyendo las inspecciones o auditorías necesarias.
  5. Garantizar que, en los servicios solicitados al encargado del tratamiento, se ha cumplido con las obligaciones previas que la legislación de protección de datos personales impone.

5. Obligaciones del Encargado del Tratamiento

Tanto el Encargado del Tratamiento como el personal a su cargo, se obligan a:
  1. Utilizar la información objeto de tratamiento o los que recoja para su inclusión sólo para aquella finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
  2. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el Encargado del Tratamiento considera que alguna de las instrucciones infringe el Reglamento (UE) 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
  3. No comunicar información a terceras personas, salvo que cuente con la autorización expresa del Responsable de Tratamiento o se encuentre incluida dicha comunicación en las causas legales previstas en la ley. En la autorización, el Responsable de Tratamiento indicarán la entidad a la que se deben comunicar los datos y las distintas medidas de seguridad a aplicar para proceder a la comunicación.
  4. El encargado del tratamiento deberá observar en todo el deber de confidencialidad, tal y cómo viene establecido en Contrato suscrito entre las Partes. Dicho secreto profesional que subsistirá aún después de finalizar la relación profesional habida entre los responsables y encargado.
  5. El Encargado de tratamiento mantendrá la documentación acreditativa de que ha informado y formado de manera necesaria en protección de datos a las personas autorizadas para el tratamiento de datos.
  6. Asistir a los responsables del tratamiento en la respuesta al ejercicio de derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos, así como a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). De este modo, cuando las personas afectadas ejerzan alguno de los citados derechos, este debe comunicarlo al responsable del tratamiento en la dirección que consta en el encabezado.
  7. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y en cualquier caso en el plazo máximo de 24 horas las violaciones de seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación del incidente. En todo caso, se facilitará al responsable del tratamiento, como mínimo la siguiente información:> Descripción de la naturaleza de la violación de seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como el número aproximado de registros de datos personales afectado.
  • El nombre y los datos de contacto del delegado de protección  datos o de aquél otro contacto dentro de la entidad del que pueda obtenerse más información.
  • Descripción de las posibles consecuencias de la violación de seguridad de los datos personales.
  • Descripción de las medidas de seguridad adoptadas o propuestas para poner remedio a la violación de seguridad de los datos personales, incluyendo si procede, aquellas medidas adoptadas para mitigar los posibles efectos negativos.
  • Si no fuere posible facilitar la información simultáneamente, esta se facilitará de un modo gradual sin dilación indebida.
8. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
  • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de transferencias indiciadas en el artículo 39 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
  • Una descripción general de las medidas técnicas y organizativas de seguridad, entre las que se encuentren:

> Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.
> Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
> Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
> Seudonimizar y cifrar los datos personales, en su caso.
> Estar certificado en ISO 27001, cuya política de seguridad de la información está disponible en https://nedtelservicios.com/politica-de-seguridad-de-la-informacion

9. Designar un delegado de protección de datos en virtud de lo dispuesto en el art. 37 del Reglamento de Protección de Datos.

6. Subcontrataciones

  • El Responsable autoriza la subcontratación de forma general al Encargado, siempre y cuando el Encargado informe al Responsable información de los posibles Sub-Encargados y ofrezca la oportunidad de oponerse a ello mediante notificación a la cuenta de correo dpo@nedtel.es. El detalle de sub-encargados estará disponible para la consulta del Responsable a través del siguiente enlace: https://nedtelservicios.com/proveedores-sge/
  • El Sub-Encargado también tendrá la consideración de Encargado del Tratamiento en los mismos términos que el Encargado en este Convenio. En este sentido, el Encargado se obliga a suscribir con el Sub-Encargado un convenio de confidencialidad y de encargo de tratamiento de datos mediante el cual el subcontratista se obligue a cumplir con las obligaciones de este Convenio. Asimismo, tanto el Encargado como el Sub- Encargado se obligan a seguir las instrucciones del Responsable en relación al tratamiento de los Datos Personales. En todo caso, se impondrán al Sub-Encargado las mismas obligaciones de protección de datos que las impuestas al Encargado.

7. Transferencias internacionales de datos

El Encargado tratará la información en nombre del Responsable de tratamiento dentro de los estados miembros de la Unión Europea.

En el caso de que la actividad del tratamiento se realice en un tercer país fuera de la Unión Europea será necesaria una autorización previa por escrito del Responsable. En este caso, el Encargado deberá incorporar o asegurar la existencia de garantías que brinden protección adecuada de acuerdo con la Normativa Aplicable de Protección de Datos, tales como Normas Corporativas Vinculantes, Cláusulas Tipo o certificaciones.

8. Controles y auditorías

Los responsables del tratamiento, en su condición, se reserva el derecho de efectuar en cualquier momento los controles y auditorías que estimen oportunos para comprobar el correcto cumplimiento por parte del Encargado de Tratamiento del presente contrato.

Por su parte, el Encargado del Tratamiento, deberá facilitar al Responsable del Tratamiento cuantos datos o documentos le requiera para el adecuado cumplimiento de dichos controles o auditorías.

9. Claúsulas generales

  • La no exigencia por cualquiera de las partes de cualquiera de sus derechos, de conformidad con el presente contrato, no se considerará que constituye una renuncia a dichos derechos en el futuro.
  • La relación jurídica que se constituye entre las partes se rige por este único contrato, siendo el único valido existente entre las partes y sustituye a cualquier tipo de acuerdo o compromiso anterior a cerca del mismo objeto, ya sea escrito o verbal y solo podrá ser modificado por un acuerdo firmado por ambas partes.
  • Si se llegara a demostrar que alguna de las estipulaciones contenida en este contrato es nula, ilegal o inexigible, la validez, legalidad y exigibilidad del resto de las estipulaciones no se verán afectadas o perjudicadas por aquella.

10. Modificaciones

Si las Partes lo estiman oportuno podrán actualizar el Contrato de Encargado de Tratamiento durante la vigencia del Contrato, de conformidad con este documento o mediante otro acuerdo mutuo por escrito independiente, para reflejar posibles cambios en el tratamiento o por otras razones.

11. Ley aplicable y jurisdicción

El presente contrato se regirá e interpretará conforme a la legislación española.

Todas las estipulaciones contenidas en este Contrato deben ser interpretadas de forma que no infrinjan las disposiciones legales vigentes. Exclusivamente en la medida en que una cualquiera de las estipulaciones contenidas en el presente infringiera las disposiciones legales vigentes, la misma se tendrá por nula y reemplazada por una nueva que refleje la intención inicial de las partes de la forma que sea menos perjudicial para los intereses de ambas partes.

Cualquier controversia relacionada con la interpretación o ejecución del presente contrato será competencia exclusiva de los juzgados y tribunales de la ciudad de Alicante, independientemente del lugar de ejecución del Contrato, del domicilio del demandado y con expresa renuncia a cualquier otro fuero que les pudiera corresponder.

DESCARGAR DOCUMENTO