Igualada, a 15 de noviembre de 2018
Reunidos de una parte, MARÍA INGLÉS GONZÁLEZ-PARDO con DNI 72151380N, actuando como Representante Legal y Presidenta de Asociación APITAC-ASOCIACIÓN PROFESIONAL IBEROAMERICANA DE TERAPEUTAS ARTÍSTICOS Y CREATIVOS, como Responsable del tratamiento, con CIF G67082180 y domicilio social situado en Rambla St. Ferran, 62 1º 3ª 08700 Igualada, en adelante RESPONSABLE.
Y de otra parte, WEBEMPRESA EUROPA, SL como encargado del tratamiento, con CIF B65739856, y domicilio social situado en C/ Almagro, 11 6º 7ª 1, 28010 Madrid (Madrid), en adelante ENCARGADO.
Ambas partes se reconocen recíprocamente la capacidad legal necesaria para el suscribir el presente contrato de prestación de servicios con acceso a datos personales y
MANIFIESTAN
INSTRUCCIONES PARA EL TRATAMIENTO DE DATOS
El tratamiento de datos consistirá en acceso a datos para poder confeccionar la documentación requerida en la RGPD.
Las operaciones de tratamiento autorizadas serán las estrictamente necesarias para alcanzar la finalidad del encargo incluyendo, si se precisa, la recogida, registro, estructuración, modificación, conservación, extracción, consulta, comunicación por
transmisión, difusión, interconexión, cotejo, limitación, supresión y destrucción de datos.
Los datos personales a que tendrá acceso el ENCARGADO corresponden a las categorías de interesados de Empleados, Clientes y usuarios, Proveedores, Asociados y miembros, Propietarios o arrendatarios, Empleados que están incluidos en los ficheros que el RESPONSABLE pone a su disposición para poder ofrecerle el servicio contratado informándole que se les debe aplicar las obligaciones previstas en el Título VIII del RDLOPD para el nivel de seguridad BÁSICO.
El RESPONSABLE garantiza que los datos facilitados al ENCARGADO se han obtenido lícitamente y que son adecuados, pertinentes y limitados a los fines del tratamiento.
El RESPONSABLE pondrá a disposición del ENCARGADO cuanta información sea necesaria para ejecutar las prestaciones objeto del encargo.
El RESPONSABLE advierte al ENCARGADO que, si determina por su cuenta los fines y los medios del tratamiento, será considerado responsable del tratamiento y estará sujeto a cumplir las disposiciones de la normativa vigente aplicables como tal.
El ENCARGADO se obliga a respetar todas las obligaciones que pudieran corresponderle como encargado del tratamiento conforme lo dispuesto en la normativa vigente y cualquier otra disposición o regulación que le fuera igualmente aplicable.
El ENCARGADO no destinará, aplicará o utilizará los datos a los que tenga acceso para un fin distinto al encargo o que suponga el incumplimiento de este contrato.
El ENCARGADO pondrá a disposición del RESPONSABLE la información necesaria para demostrar el cumplimiento del contrato, permitiendo las inspecciones y auditorías necesarias para evaluar el tratamiento.
El ENCARGADO garantiza que el personal autorizado para realizar el tratamiento se ha comprometido de forma expresa y por escrito a respetar la confidencialidad de los datos o que está sujeto a una obligación legal de confidencialidad de naturaleza estatutaria.
El ENCARGADO tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratarlos siguiendo las instrucciones del RESPONSABLE o esté obligada a ello en virtud de la legislación vigente.
El ENCARGADO garantiza que el personal autorizado para realizar el tratamiento ha recibido la formación necesaria para asegurar que no se pondrá en riesgo la protección de datos personales.
El ENCARGADO manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de protección de datos, especialmente en lo que se refiere a la implantación de las medidas de seguridad para las diferentes categorías de datos y de tratamiento establecidas en el artículo 9 de la LOPD o, cuando sea de aplicación, el artículo 32 del GDPR.
El ENCARGADO garantiza que se implementarán adecuadamente dichas medidas de seguridad y cooperará con el RESPONSABLE para avalar su cumplimiento.
El RESPONSABLE realizará un análisis de los posibles riesgos derivados del tratamiento para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de los interesados y, si determinara que existen riesgos, trasladará al ENCARGADO un informe con la evaluación de impacto para que proceda a la implementación de medidas adecuadas para evitarlos o mitigarlos.
El ENCARGADO, por su parte, deberá analizar los posibles riesgos y otras circunstancias que puedan incidir en la seguridad que le sean atribuibles, debiendo informar, si los hubiere, al RESPONSABLE para evaluar su impacto.
De todas formas, el ENCARGADO garantiza que se implementarán las siguientes medidas de protección de datos, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento:
Las violaciones de seguridad que tenga conocimiento el ENCARGADO deberán notificarse, sin dilación indebida y en un máximo de 24 horas, al RESPONSABLE para su conocimiento y aplicación de medidas para remediar y mitigar los efectos ocasionados. No será necesaria la notificación cuando sea improbable que comporte un riesgo para los derechos y las libertades de las personas físicas.
La notificación de una violación de seguridad deberá contener, como mínimo, la siguiente información:
Cuando la violación de seguridad se haya producido bajo la responsabilidad del ENCARGADO, el RESPONSABLE podrá obligarle a notificarla a la Autoridad de control y, si fuera necesario, a comunicarla a los interesados afectados.
El ENCARGADO no podrá comunicar los datos a otros destinatarios, salvo que hubiera obtenido una autorización previa y por escrito del RESPONSABLE; la cual, de existir, se anexará al presente contrato.
La transmisión de datos a Autoridades públicas en el ejercicio de sus funciones públicas no son consideradas comunicaciones de datos, por lo que no se precisará de la autorización del RESPONSABLE si dichas transmisiones son necesarias para alcanzar la finalidad del encargo.
El ENCARGADO no podrá realizar transferencias de datos a terceros países u organizaciones internacionales no establecidos en la UE, salvo que hubiera obtenido una autorización previa y por escrito del RESPONSABLE; la cual, de existir, se anexará al presente contrato.
El ENCARGADO no podrá subcontratar a un tercero la realización de ningún tratamiento de datos que le hubiera encomendado el RESPONSABLE, salvo que hubiera obtenido de éste una autorización previa y por escrito para ello; la cual, de existir, se anexará al presente contrato.
El ENCARGADO creará, siempre que sea posible y teniendo cuenta la naturaleza del tratamiento, las condiciones técnicas y organizativas necesarias para asistir al RESPONSABLE en su obligación de responder las solicitudes de los derechos del interesado.
En el caso que el ENCARGADO reciba una solicitud para el ejercicio de dichos derechos, deberá comunicarlo al RESPONSABLE de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente con otras informaciones que puedan ser relevantes para resolver la solicitud.
Cuando los datos sean tratados exclusivamente con los sistemas del ENCARGADO, deberá resolver, por cuenta del RESPONSABLE, y dentro del plazo establecido, las solicitudes recibidas para el ejercicio de los derechos del interesado en relación con los datos objeto del encargo, sin menoscabo de comunicarlo al RESPONSABLE de acuerdo con lo establecido en el párrafo anterior; a saber, los derechos de acceso, rectificación, supresión y portabilidad de datos y los de limitación u oposición al tratamiento, y si fuera el caso, a no ser objeto de decisiones individualizadas automatizadas.
Conforme el artículo 82 del GDPR, el ENCARGADO se hace responsable frente al RESPONSABLE por los daños y perjuicios causados a interesados o terceros incluidas las sanciones administrativas, que se deriven de reclamaciones judiciales o extrajudiciales o de procedimientos sancionadores de la Autoridad de control, que sean consecuencia de la inobservancia de las instrucciones asumidas en el presente contrato.
Una vez finalice la prestación de servicios objeto de este contrato, el ENCARGADO certificará, a elección del RESPONSABLE, la supresión o devolución de todos los datos personales y las copias existentes.
No procederá la supresión de datos cuando se requiera su conservación por una obligación legal, en cuyo caso el ENCARGADO procederá a la custodia de los mismos bloqueando los datos y limitando su tratamiento en tanto que pudieran derivarse responsabilidades de su relación con el RESPONSABLE.
El ENCARGADO mantendrá el deber de secreto y confidencialidad de los datos incluso después de finalizar la relación objeto de este contrato.
Y para que conste a los efectos oportunos, en prueba de conformidad de las partes, firman el presente contrato, por duplicado, en el lugar y la fecha indicados en el encabezamiento.
Por APITAC-ASOCIACIÓN PROFESIONAL Por ENCARGADO IBEROAMERICANA DE TERAPEUTAS ARTÍSTICOS Y CREATIVOS
Compartir
APITAC ® 2020 Todos los derechos reservados