POSICIÓ RESPECTE DEL TRACTAMENT DE LES DADES DE CARÀCTER PERSONAL
Responsable de Dades: Centre d’Estudis Demogràfics[1]
Encarregat del tractament: l’empresa, institució o organisme que signa el corresponent contracte
Ambdues parts es reconeixen capacitat legal suficient per atorgar el present contracte de conformitat amb el que estableix la normativa vigent.
NORMATIVA
Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 de abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament i la lliure circulació de dades personals (RGPD)
LOPD 3/2018 de 5 de desembre de protecció de dades personals I garantia dels drets digitals.
INFORMACIÓ
Les dades personals que se tractarà l’encarregat, serà sempre el mínim de informació absolutament necessària per aconseguir les finalitats del termes presents en el corresponent contracte.
DURADA
Les dades personals seran conservades mentre duri la finalitat per a la que són tractades i durant el temps que estableixi el corresponent contracte
La durada potser renovable de forma automàtica per períodes iguals de temps a no ser que una de les dues parts sol·liciti resoldre’l.
Un cop finalitzi el present acord, l’encarregat del tractament tornarà al responsable les dades personals facilitades i en suprimirà qualsevol còpia que pugui tenir.
OBLIGACIONS DEL RESPONSABLE DE LES DADES
- Complir amb la normativa de protecció de dades en tot moment vigent, exonerant en tot cas a l’encarregat del tractament per aquests incompliments.
- Lliurar a l’encarregat les dades a les quals es refereix la clàusula 3 d’aquest document, que prèviament haurà recollit de forma legítima.
- Tenir designat el Delegat de Protecció de Dades (DPD), en cas que sigui necessari.
- Fer una avaluació de l’impacte en la protecció de dades personals de les operacions de tractament que ha d’efectuar l’encarregat.
- Fer les consultes prèvies que correspongui.
- Vetllar, abans i durant tot el tractament, perquè l’encarregat compleixi el RGPD.
- Supervisar el tractament, inclosa l’execució d’inspeccions i auditories.
COMPROMISOS DE L’ENCARREGAT DEL TRACTAMENT DE LES DADES
Utilitzar les dades personals objecte de tractament només per a la finalitat objecte de la seva col·laboració, d’acord amb les instruccions del responsable del tractament
En cap cas pot utilitzar les dades per a finalitats pròpies.
Registre de activitats
Tenir un registre de totes les categories d’activitats de tractament efectuades, que contingui:
- El nom i les dades de contacte de l’encarregat o dels encarregats i de cada responsable per compte del qual actua l’encarregat i, si escau, del representant del responsable o de l’encarregat i del delegat de protecció de dades.
- Les categories de tractaments efectuades per compte de cada responsable.
- Si escau, les transferències de dades personals a un tercer país o organització internacional, inclosa la identificació d’aquest país o aquesta organització internacional, i en el cas de les transferències indicades a l’art. 49.1, 2ª paràgraf del RGPD, la documentació de garanties adequades.
Mesures tècniques i organitzatives de seguretat
- Garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
- Restaurar la disponibilitat i l’accés a les dades personals de forma ràpida, en cas d’incident físic o tècnic.
- Verificar, avaluar i valorar, de forma regular, l’eficàcia de les mesures tècniques i organitzatives implantades per garantir la seguretat del tractament.
- Seudonimitzar i xifrar les dades personals, si escau.
Transferències
- No comunicar les dades a terceres persones, tret que tingui l’autorització expressa del responsable del tractament.
- L’encarregat pot comunicar les dades a altres encarregats del tractament del mateix responsable, d’acord amb les instruccions del responsable. En aquest cas, el responsable ha d’identificar, prèviament i per escrit, l’entitat a la qual s’han de comunicar les dades, les dades a comunicar i les mesures de seguretat que cal aplicar per procedir a la comunicació.
- Si l’encarregat ha de transferir dades personals a un tercer país o a una organització internacional, en virtut del dret de la Unió o dels estats membres que li sigui aplicable, ha d’informar el responsable d’aquesta exigència legal de manera prèvia, tret que aquest dret ho prohibeixi per raons importants d’interès públic.
- Per subcontractar amb altres empreses, l’encarregat haurà de comunicar-ho per escrit al responsable, identificant de manera clara i inequívoca l’empresa subcontractada o el tercer, i les seves dades de contacte. La subcontractació es pot dur a terme si el responsable no manifesta la seva oposició en el termini de 15 dies.
- El subcontractat, que també té la condició d’encarregat del tractament, estarà obligat igualment a complir les obligacions que aquest document estableix per a l’encarregat del tractament i les instruccions que dicti el responsable
Secret professional
- Mantenir el deure de secret respecte de les dades de caràcter personal a les quals hagi tingut accés en virtut d’aquest encàrrec, fins i tot després que en finalitzi la seva col·laboració.
- Garantir que les persones autoritzades per tractar dades personals es comprometen, de forma expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat corresponents, de les quals cal informar-los convenientment.
- Mantenir a disposició del responsable la documentació que acredita que es compleix l’obligació que estableix l’apartat anterior.
- Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per tractar dades personals.
Drets dels usuaris o parts interessades
Assistir el responsable del tractament en la resposta a l’exercici dels drets dels usuaris o parts interessades, pel que fa a (1) accés, rectificació, supressió i oposició, (2) limitació del tractament, (3) Portabilitat de dades i (4) a no ser objecte de decisions individualitzades automatitzades (inclosa l’elaboració de perfils).
Notificació de violacions de la seguretat de les dades
L’encarregat del tractament informarà el responsable del tractament, sense dilació indeguda i en qualsevol cas abans del termini màxim de 72 hores, a través d’e-mail o altre mitjà fefaent, de les violacions de la seguretat de les dades personals al seu càrrec de les quals tingui coneixement, juntament amb tota la informació rellevant per documentar i comunicar la incidència en aquells casos que la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.
Donar suport al responsable del tractament a l’hora de fer les avaluacions d’impacte relatives a la protecció de dades i de fer les consultes prèvies a l’autoritat de control, quan escaigui.
Finalització del contracte
Retornar al responsable del tractament les dades de caràcter personal i, si escau, els suports on constin, una vegada complerta la prestació. La devolució comportarà l’esborrat total de les dades existents en els equips informàtics utilitzats per l’encarregat. No obstant això, l’encarregat podrà conservar-ne una còpia, amb les dades degudament bloquejades, mentre es puguin derivar responsabilitats de l’execució de la prestació.