DE UNA PARTE, el firmante de la propuesta de servicios o el indicado como RESPONSABLE DEL TRATAMIENTO en la propuesta de servicios, (en adelante, el RESPONSABLE DEL TRATAMIENTO).

DE OTRA PARTE, D./DÑA. Javier Martínez Galiana, mayor de edad, con DNI/NIE 52997423H, actuando en nombre y representación de LEIALTA, S.L.P. (en adelante, el ENCARGADO DEL TRATAMIENTO), provista de CIF B87291928, y con domicilio a efectos de notificaciones en Calle Zurbano, 45, 1°, CP 28010, Madrid (Madrid)

Y reconociéndose ambas partes, mutua y recíprocamente, con capacidad legal suficiente para el presente acto, EXPONEN

I.- Que el ENCARGADO DEL TRATAMIENTO se dedica, entre otras actividades propias de su objeto social, a las de prestación de servicios de: CONSULTORIA Y ASESORAMIENTO EMPRESARIAL

II.- Que, en base a lo anterior, el RESPONSABLE DEL TRATAMIENTO mantiene con el ENCARGADO DEL TRATAMIENTO una relación de prestación de servicios de: CONSULTORIA Y ASESORAMIENTO EMPRESARIAL

III.- Que, con motivo de la relación de prestación de servicios que vincula a ambas partes, el ENCARGADO DEL TRATAMIENTO necesita tratar determinados datos personales por cuenta del RESPONSABLE DEL TRATAMIENTO.

IV.- Que, en base a lo establecido en el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), “[e]l tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de los interesados, y las obligaciones y derechos del responsable”.

De acuerdo con lo anterior, las partes acuerdan el presente contrato, que se regirá de conformidad con las siguientes, ESTIPULACIONES

PRIMERA.- OBJETO.

El objeto del presente contrato es regular el tratamiento por el ENCARGADO DEL TRATAMIENTO de determinados datos personales por cuenta del RESPONSABLE DEL TRATAMIENTO, con motivo de la relación de prestación de servicios que vincula a ambas partes, dando cumplimiento a las obligaciones establecidas en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y en la normativa española de protección de datos de carácter personal.

SEGUNDA.- DEFINICIONES.

A los efectos del presente contrato, se entenderá por:

a. Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 4 1) RGPD).

b. Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (art. 4 2) RGPD).

c. Responsable del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros (art. 4 7) RGPD).

d. Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento (art. 4 8) RGPD).

TERCERA.- INSTRUCCIONES DEL RESPONSABLE DEL TRATAMIENTO.

El ENCARGADO DEL TRATAMIENTO tratará por cuenta del RESPONSABLE DEL TRATAMIENTO los datos personales necesarios para la prestación de servicios derivada de la relación que vincula a ambas partes, de conformidad con las instrucciones documentadas en el ANEXO al presente contrato.

CUARTA.- IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA.

El ENCARGADO DEL TRATAMIENTO tratará por cuenta del RESPONSABLE DEL TRATAMIENTO la información sobre personas físicas identificadas o identificables documentada en el ANEXO al presente contrato.

QUINTA.- DURACIÓN.

El presente contrato entrará en vigor desde la fecha de su firma y estará vigente hasta la fecha de terminación de la relación de prestación de servicios entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO.

SEXTA.- OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.

El ENCARGADO DEL TRATAMIENTO se compromete al cumplimiento de las siguientes obligaciones:

a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el Reglamento (UE) 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento (UE) 2016/679, la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
   a) La seudonimización y el cifrado de datos personales.
   b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
   c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
   d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO, en los supuestos legalmente admisibles.

El ENCARGADO DEL TRATAMIENTO puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO. En este caso, el RESPONSABLE DEL TRATAMIENTO identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el ENCARGADO DEL TRATAMIENTO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

e. EL ENCARGADO DEL TRATAMIENTO no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de diez días hábiles, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto

a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

f. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

j. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición.
2. Limitación del tratamiento.
3. Portabilidad de datos.
4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo por correo electrónico a la dirección que indique el RESPONSABLE DEL TRATAMIENTO. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

Si la comunicación no pudiera efectuarse por correo electrónico por no haber sido facilitada por el RESPONSABLE DEL TRATAMIENTO una dirección a los efectos antedichos, el ENCARGADO DEL TRATAMIENTO deberá efectuar dicha comunicación por cualquier medio de notificación admitido en derecho.

k. El ENCARGADO DEL TRATAMIENTO, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el RESPONSABLE DEL TRATAMIENTO antes del inicio de la recogida de los datos.

l. El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y por correo electrónico a la dirección que indique el RESPONSABLE DEL TRATAMIENTO, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si la notificación no pudiera efectuarse por correo electrónico por no haber sido facilitada por el RESPONSABLE DEL TRATAMIENTO una dirección a los efectos antedichos, el ENCARGADO DEL TRATAMIENTO deberá cumplir con la citada obligación a través de cualquier medio de notificación admitido en derecho.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

m. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

n. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

o. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

p. Implantar las medidas de seguridad recogidas en el ANEXO al presente contrato. En todo caso, el ENCARGADO DEL TRATAMIENTO deberá implantar mecanismos para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.

q. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable, siempre y cuando ello sea obligatorio en virtud de lo establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos.

r. Una vez finalizada la relación de prestación de servicios que vincula a ambas partes, el ENCARGADO DEL TRATAMIENTO deberá dar destino a los datos personales objeto de tratamiento conforme a las instrucciones del RESPONSABLE DEL TRATAMIENTO recogidas en el ANEXO al presente contrato.

El ENCARGADO DEL TRATAMIENTO se compromete a comunicar y hacer cumplir a su personal, incluidos trabajadores de empresas de trabajo temporal, las obligaciones establecidas en el presente contrato y en concreto la obligación de secreto respecto a los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO y el cumplimiento de las medidas de seguridad correspondientes.

En el caso de que el ENCARGADO DEL TRATAMIENTO destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del presente contrato, responderá frente al RESPONSABLE DEL TRATAMIENTO, los interesados afectados, y autoridades de control competentes, del incumplimiento de las mismas y de las infracciones en que hubiera incurrido personalmente.

SÉPTIMA.- OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO.

El RESPONSABLE DEL TRATAMIENTO se compromete al cumplimiento de las siguientes obligaciones:

a. Entregar al ENCARGADO DEL TRATAMIENTO los datos a los que se refiere el ANEXO al presente contrato.

b. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO DEL TRATAMIENTO, siempre y cuando ello sea obligatorio en virtud de lo establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos.

c. Realizar las consultas previas que corresponda, siempre y cuando ello sea obligatorio en virtud de lo establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos.

d. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del Reglamento (UE) 2016/679 y la normativa española de protección de datos por parte del ENCARGADO DEL TRATAMIENTO.

e. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

En el caso de que el RESPONSABLE DEL TRATAMIENTO incumpla las estipulaciones del presente contrato, responderá frente al ENCARGADO DEL TRATAMIENTO, los interesados afectados, y autoridades de control competentes, del incumplimiento de las mismas y de las infracciones en que hubiera incurrido personalmente.

OCTAVA.- CONFIDENCIALIDAD.

Ambas partes se comprometen a guardar la debida confidencialidad sobre los hechos, informaciones, conocimientos, documentos, objetos y cualesquiera otros elementos protegidos por el secreto, a los que tengan acceso con motivo de la relación de prestación de servicios, sin que puedan utilizar la información a la que accedan para cualquier finalidad distinta a la ejecución del contrato que une a ambas partes.

En tal sentido, y sin carácter limitativo o excluyente, el citado deber de confidencialidad y secreto comprende la siguiente información:

1. Cualquier información protegida por la normativa sobre propiedad intelectual e industrial.
2. Cualquier información sobre personas físicas identificadas o identificables, protegida por la normativa sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales.
3. Cualquier información protegida por la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
4. Cualquier información sujeta al deber de secreto profesional.
5. Los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales).
6. Cualquier otra información que por su naturaleza no pueda ser revelada a terceros ajenos a las partes firmantes y que, por lo tanto, no sea de conocimiento público.

El incumplimiento de las citadas obligaciones podrá tener como consecuencia el ejercicio de las acciones legales que, en su caso, procedan y las responsabilidades que de dicho ejercicio se deriven.

NOVENA.- INFORMACIÓN EN CUMPLIMIENTO DE LO ESTABLECIDO EN EL ARTÍCULO 13 DEL Reglamento (UE) 2016/679.

Los datos de las personas firmantes del presente contrato serán objeto de tratamiento por cada una de las entidades que representan para poder ejecutar el mismo. Dichos datos serán conservados durante los plazos legales de prescripción de las responsabilidades nacidas de la relación de prestación de servicios que vincula a ambas partes. Las personas firmantes tienen derecho a solicitar a cada una de las entidades responsables del tratamiento el acceso a sus datos personales, así como su rectificación o supresión, en las direcciones a efectos de notificaciones indicadas en el encabezamiento del presente contrato. Asimismo, tienen derecho a presentar una reclamación a la autoridad de control competente en el supuesto de que entiendan que su derecho a la protección de datos ha sido vulnerado.

DÉCIMA.- LEY APLICABLE Y FORO.

El presente contrato se regirá e interpretará conforme a la legislación española en aquello que no esté expresamente regulado. Si alguna de las estipulaciones o condiciones del presente contrato resultara nula, inválida o ineficaz y no pudiera tener efecto por causa de la legislación aplicable a él, dicha nulidad, invalidez o ineficacia no afectara al resto de las estipulaciones o condiciones.

Las partes se someten, para las controversias que pudieran surgir en relación con el presente contrato, a la competencia de los Juzgados y Tribunales de la ciudad señalada en el encabezamiento del mismo, con renuncia a cualquier otro foro que les pudiera corresponder.

Y para que así conste, tanto el que propone el servicio de consultoría, ENCARGADO DEL TRATAMIENTO, como el que firma la propuesta de servicios, RESPONSABLE DEL TRATAMIENTO, están de acuerdo y ratifican el presente contrato de tratamiento de datos por cuenta de terceros en el momento en que la propuesta de servicios es firmada por ambas partes.

ANEXO AL CONTRATO DE TRATAMIENTO DE DATOS

I) INSTRUCCIONES DEL RESPONSABLE DEL TRATAMIENTO RESPECTO DE LOS TRATAMIENTOS DE DATOS A REALIZAR POR EL ENCARGADO DEL TRATAMIENTO

a) Descripción de la forma de prestación del servicio:

El servicio será prestado en los locales del RESPONSABLE DEL TRATAMIENTO, que facilitará al ENCARGADO DEL TRATAMIENTO el acceso a sus sistemas.

El servicio será prestado a través de acceso remoto, prohibiéndose expresamente al ENCARGADO DEL TRATAMIENTO incorporar los datos objeto de tratamiento a sistemas o soportes distintos de los del RESPONSABLE DEL TRATAMIENTO.

El servicio será prestado por el ENCARGADO DEL TRATAMIENTO en sus propios locales y con sus sistemas, ajenos a los del RESPONSABLE DEL TRATAMIENTO.

b) Operaciones concretas a realizar sobre los datos personales

II) IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

a) Tipos de datos personales objeto de tratamiento:

b) Colectivos o categorías de interesados:

III) MEDIDAS DE SEGURIDAD A IMPLANTAR POR EL ENCARGADO DEL TRATAMIENTO

Las medidas de seguridad que implantará el ENCARGADO DEL TRATAMIENTO serán las siguientes:

a) Medidas generales:

Documento de política de protección de datos de carácter personal

Funciones y obligaciones de los usuarios y normas de uso de los recursos TIC

Capacitación y educación de los usuarios en protección de datos.

Inventario de activos de información (lista de todos aquellos recursos -físicos, software, documentos, servicios, personas, instalaciones, etc.- que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos)

b) En materia de seudonimización y cifrado de datos personales:

Medidas técnicas y organizativas de seudonimización

c) En relación con la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento:

d) En relación con la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico:

e) En relación con el proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento:

Controles internos de cumplimiento cada 3 meses

Revisión regular de la política de protección de datos a intervalos planeados

IV) DESTINO DE LA INFORMACIÓN

Devolver al encargado que designe por escrito el RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el ENCARGADO DEL TRATAMIENTO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.