POSICIÓN RESPECTO DEL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL
Responsable de Datos: Centre d’Estudis Demogràfics[1].
Encargado del tratamiento: empresa, institución u organismo que firma el correspondiente contrato.
Las dos partes reconocen capacidad legal suficiente para otorgar el presente contrato de conformidad con lo establecido en la normativa vigente.
NORMATIVA
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas con relación al tratamiento y la libre circulación de los datos personales (RGPD).
LOPD 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (LOPD).
INFORMACIÓN
Los datos personales que tratará el encargado, será siempre el mínimo de información absolutamente necesaria para conseguir las finalidades de los términos presentes en el correspondiente contrato.
DURACIÓN
Los datos personales serán conservados mientras dure la finalidad para la que son tratados y durante el tiempo que establezca el correspondiente contrato.
La duración puede ser renovada de forma automática para periodos iguales de tiempo a no ser que una de las dos partes solicite resolverlo.
Una vez que acabe el acuerdo presente, el encargado del tratamiento devolverá al responsable los datos personales facilitados y eliminará cualquier copia que pueda tener.
OBLIGACIONES DEL RESPONSABLE DE LOS DATOS
- Cumplir con la normativa vigente de protección de datos en todo momento, exonerando en todo caso al encargado del tratamiento por sus incumplimientos.
- Entregar al encargado los datos necesarios para las finalidades del contrato, que previamente habrá recogido de forma legítima.
- Tener designado el Delegado de Protección de Datos (DPD), cuando sea necesario.
- Hacer una evaluación de impacto en la protección de datos personales de las operaciones de tratamiento que ha de efectuar el encargado.
- Hacer las consultas previas que correspondan.
- Velar, antes y durante todo el tratamiento, para que el encargado cumpla con el RGPD.
- Supervisar el tratamiento, incluso la ejecución de inspecciones y auditorias.
COMPROMISOS DE EL ENCARGADO DEL TRATAMIENTO DE LOS DATOS
Utilizar los datos personales objeto de tratamiento nada más que para la finalidad objeto de su colaboración, de acuerdo con las instrucciones del responsable del tratamiento.
En ningún caso puede utilizar los datos para finalidades propias.
Registro de actividades
Tener un registro de todas las categorías de actividades de tratamiento efectuadas, que contenga:
- El nombre y los datos de contacto del encargado o de los encargados y de cada responsable por cuenta del cual actúa el encargado y, si hace falta, del representante del responsable o del encargado y del delegado de protección de datos.
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- Si se dieran transferencias de datos personales a un tercer país u organización internacional, incluir su identificación y las garantías adecuadas.
Medidas técnicas y organizativas de seguridad
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Seudoanonimizar y cifrar los datos personales, si hiciera falta.
Transferencias
- No comunicar los datos a terceras personas, salvo que tinga la autorización expresa del responsable del tratamiento.
- El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En ese caso, el responsable ha de identificar, previamente y por escrito, la entidad a la cual se han de comunicar los datos, los datos a comunicar y las medidas de seguridad que hay que aplicar para proceder a la comunicación.
- Si el encargado ha de transferir datos personales a un tercer país o a una organización internacional, en virtud del derecho de la Unión o de los estados miembros que le sea aplicable, ha de informar al responsable de esta exigencia legal de manera previa, salvo que este derecho lo prohíba por razones importantes de interés público.
- Per subcontratar a otras empresas, el encargado tendrá que comunicarlo por escrito al responsable, identificando de manera clara e inequívoca a la empresa subcontratada, y sus datos de contacto. La subcontratación se puede llevar a cabo si el responsable no manifiesta su oposición en el plazo de 15 días.
- El subcontratado, que también tiene la condición de encargado del tratamiento, estará obligado igualmente a cumplir las obligaciones que este documento establece para el encargado del tratamiento y las instrucciones que dicte el responsable
Secreto profesional
- Mantener el deber de secreto respecto de los datos de carácter personal a los que tenga acceso en virtud de este encargo, incluso después que finalice su colaboración.
- Garantizar que las personas autorizadas a tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que han de ser informados convenientemente.
- Mantener a disposición del responsable la documentación que acredita que se cumpla la obligación que establece lo anterior.
- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Derechos de los usuarios o partes interesadas
Asistir al responsable del tratamiento en respuesta al ejercicio de los derechos de los usuarios o partes interesadas, con respecto a (1) acceso, rectificación, supresión y oposición, (2) limitación del tratamiento, (3) Portabilidad de datos y (4) a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Notificación de violaciones de la seguridad de los datos
El encargado del tratamiento informará al responsable del tratamiento, sin dilación indebida y en cualquier caso antes del plazo de máximo de 72 horas, a través de email u otro medio fehaciente, de las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia en aquellos casos en que la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Dar apoyo al responsable del tratamiento a la hora de hacer las evaluaciones de impacto relativas a la protección de datos y de hacer las consultas previas a la autoridad de control, cuando sea necesario.
Finalización del contrato
Devolver al responsable del tratamiento los datos de carácter personal y, si fuera necesario, los soportes donde consten, una vez completada la prestación. La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado podrá conservar una copia, con los datos debidamente bloqueados, mientras que se puedan derivar responsabilidades de la ejecución de la prestación.