Acuerdo de 10 de julio de 2023, para la encomienda de
gestión entre la Dirección General de Atención a Personas con Discapacidad y la
Agencia Madrileña de Atención Social con objeto de prestar la atención
necesaria a los usuarios afectados por el incendio producido en la residencia
para personas con discapacidad Casa Familiar San Francisco de Asís Hermanos
Franciscanos de Cruz Blanca. ()
REUNIDOS
De una
parte, Doña___, Directora General de Atención a Personas con Discapacidad de la
Consejería de Familia, Juventud y Asuntos Sociales, nombrada por Decreto
163/2023, de 5 de julio, del Consejo de Gobierno, actuando en virtud de las
competencias que le reconoce el artículo 47 de la Ley 1/1983, de 13 de
diciembre, del Gobierno y Administración de la Comunidad de Madrid, y en el uso
de las atribuciones conferidas por el artículo 15 del Decreto 208/2021, de 1 de
septiembre, del Consejo de Gobierno, por el que se establece la estructura
orgánica básica de la Consejería de Familia, Juventud y Política Social.
Y de
otra, Don___, Gerente de la Agencia Madrileña de Atención Social, nombrado por
Decreto 70/2020, de 26 de agosto, del Consejo de Gobierno, actuando en virtud
de las competencias que le reconoce el artículo 47 de la Ley 1/1983, de 13 de
diciembre, del Gobierno y Administración de la Comunidad de Madrid, y en el uso
de las atribuciones conferidas por el artículo 3 del Decreto
230/2015, de 20 de octubre, del Consejo de Gobierno, por el que se
establece la estructura orgánica de la Agencia Madrileña de Atención Social.
EXPONEN
Primero
Con fecha
24 de junio de 2023 se ha producido un incendio en la Residencia para personas
con discapacidad Casa Familiar San Francisco de Asís Hermanos Franciscanos de
Cruz Blanca, ubicada en Torrelodones, con el resultado de una residente
fallecida y la necesidad de trasladar de manera inmediata, y por el tiempo
estrictamente indispensable, a la residencia para personas mayores de Colmenar
Viejo, a la residencia para personas mayores Reina Sofía de Las Rozas y a la
residencia para personas mayores de Villaviciosa de Odón, a ochenta y nueve
residentes, al no contar con ninguna otra alternativa residencial que les haya
ofrecido la dirección de la residencia, familiares o terceras personas.
Por este
motivo, se ha realizado el ingreso prioritario, extraordinario y de emergencia
de 28 usuarios en la residencia para personas mayores de Colmenar Viejo, 40
usuarios en la residencia para personas mayores Reina Sofía de Las Rozas y 21
usuarios en la residencia para personas mayores de Villaviciosa de Odón, cuya
entidad titular es la Agencia Madrileña de Atención Social.
En el
momento del incidente en los centros de la red pública de atención a personas
con discapacidad no se disponía de plazas vacantes para prestar atención a los
usuarios afectados, siendo únicamente en los centros residenciales indicados
donde existían suficientes plazas para llevar a cabo el traslado de los mismos.
Como
consecuencia de lo anterior, la Casa de San Francisco de Asís Instituto
Francisco de Cruz Blanca con fecha 30 de junio de 2023 realiza la comunicación
previa de cese temporal de la actividad del centro a la Dirección General de
Evaluación, Calidad e Innovación de la Consejería de Familia, Juventud y
Asuntos Sociales.
Mediante
Orden 439/2023, de 21 de febrero, se adjudicaron los contratos del acuerdo
marco de servicios de ʺAtención en residencia con atención diurna a
personas adultas con discapacidad intelectual en proceso de envejecimiento
prematuroʺ (AM- 006/2022).
La
entidad Casa de San Francisco de Asís Instituto Francisco de Cruz Blanca (NIF
R7900073C) fue adjudicataria de 92 plazas en el Centro C3315-Casa Familiar San
Francisco de Asís Hermanos Franciscanos de Cruz Blanca (C/ Jazmines 11, 28250
Torrelodones Madrid), firmándose el contrato de Acuerdo Marco el día 22 de
marzo de 2023.
Mediante
Orden 1941/2023, de 13 de junio, de la Consejera de Familia, Juventud y
Política Social, se aprobó la adjudicación del contrato derivado a la entidad
Casa de San Francisco de Asís Instituto Francisco de Cruz Blanca, en el Centro
C3315 Casa Familiar San Francisco de Asís Hermanos Franciscanos de Cruz
Blanca, de 92 plazas desde el día 1 de julio de 2023 al 30 de junio de 2025.
De
acuerdo con lo anteriormente expuesto, la Dirección General de Atención a
personas con Discapacidad ha realizado la propuesta de suspensión del contrato
desde el 1 de julio de 2023 hasta la nueva comunicación del reinicio de la
actividad y acuerdo del retorno de los residentes al centro que dará por
finalizada la actuación extraordinaria y de emergencia que ha originado la
intervención de esta Administración.
Por
tanto, el ingreso de los usuarios afectados en los centros residenciales
titularidad de la Agencia Madrileña de Atención Social se mantendrá mientras
perdure la situación extraordinaria y de emergencia.
Segundo
La
Dirección General de Atención a Personas con Discapacidad, en virtud de las
competencias atribuidas por el artículo 15 del Decreto 208/2021, de 1 de
septiembre, lleva a cabo la planificación de las necesidades, coordinación y
seguimiento de los recursos que conforman la Red Pública de atención social
especializada a personas con discapacidad, así como la adjudicación de plazas
en los centros y servicios del ámbito de sus competencias.
Por su
parte, la Agencia Madrileña de Atención Social, en virtud de lo dispuesto por
el Decreto 230/2015, de 20 de octubre, tiene encomendado el análisis de medidas
necesarias para la mejora de la atención a las personas mayores, a las personas
con discapacidad intelectual y a los menores de edad usuarios de los centros
asignados a la misma. De igual forma también se le encomienda el establecimiento,
implantación y evaluación de acciones dirigidas a la salvaguarda de los
derechos de los usuarios.
Estas
actividades se enmarcan dentro de la Atención Social Especializada definida por
el artículo 18 de la Ley
12/2022, de 21 de diciembre, de Servicios Sociales de la Comunidad de
Madrid.
Tercero
Que los
hechos descritos en el apartado Primero han generado una situación por la cual,
la Dirección General de Atención a Personas con Discapacidad, ante la
imposibilidad de reubicar al conjunto de usuarios afectados en recursos de su
titularidad, ha tenido que resolver el traslado de los mismos a centros
titularidad de la Agencia Madrileña de Atención Social, pasando, de forma
temporal, a ser usuarios de este organismo.
La
Agencia Madrileña de Atención Social, dado que dispone de recursos suficientes
y experiencia en el tratamiento de usuarios de esta tipología, ofrece las
garantías suficientes para que la atención que precisan estos usuarios se
desarrolle en los mejores términos.
Para
articular esta situación se hace necesario acudir a la figura de la encomienda
de gestión, recogida en el artículo 11 de la Ley 40/2015, de 1 de octubre, del
Régimen Jurídico del Sector Público.
En virtud
de lo expuesto, y de conformidad con lo dispuesto en el artículo 11 de la Ley
40/2015, de 1 de octubre, la Dirección General de Atención a Personas con
Discapacidad y la Agencia Madrileña de Atención Social,
ACUERDAN
Primero. Objeto de la encomienda
Por el
presente Acuerdo, la Dirección General de Atención a Personas con Discapacidad
encomienda a la Agencia Madrileña de Atención Social, la prestación de la
atención integral a los usuarios afectados por el incendio producido en la
residencia para personas con discapacidad Casa Familiar San Francisco de Asís
Hermanos Franciscanos de Cruz Blanca, garantizando en todo momento la atención
de los mismos.
Dicha
atención incluye el alojamiento, la manutención, la habilitación, el cuidado y
apoyo personal y social en el grado que sea necesario para el desarrollo de las
actividades de la vida diaria y una atención diurna especializada que incluye
actividades de fomento del ocio y la normal convivencia y actividades
rehabilitadoras dirigidas a evitar la progresión de situaciones de deterioro y
promover el mantenimiento y desarrollo de sus capacidades y posibilidades de
integración social, de 89 personas adultas con discapacidad intelectual en
proceso de envejecimiento prematuro.
Segundo. Naturaleza y alcance
La presente
encomienda de gestión tiene naturaleza administrativa, quedando sujeta a lo
establecido en el artículo 11 de la Ley 40/2015, de 1 de octubre. Queda, por
tanto, excluida de la aplicación de la Ley 9/2017, de 8 de noviembre, de
Contratos del Sector Público, por la que se trasponen al ordenamiento jurídico
español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y
2014/24/UE, de 26 de febrero de 2014, según lo establecido en su artículo 6.3;
aplicándose únicamente los principios de dicha norma para resolver las dudas y
lagunas que pudieran presentarse, según dispone su artículo 4.
Tercero. Titularidad de la competencia
La
encomienda de gestión no supone cesión de la titularidad de la competencia ni
de los elementos sustantivos de su ejercicio, siendo responsabilidad del órgano
encomendante dictar cuantos actos o resoluciones de carácter jurídico den
soporte o en los que se integre la concreta actividad material objeto de
encomienda.
Cuarto. Protección de datos personales
Las
partes se comprometen a cumplir las previsiones contenidas en la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los
Derechos Digitales, así como en el Reglamento (UE) 2016/679, de 27 de abril de
2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a
la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, y cualquier otra
normativa que pueda sustituir, modificar o complementar a la mencionada en
materia de protección de datos de carácter personal durante la vigencia del
presente Acuerdo.
Las
obligaciones en materia de protección de dichos datos tendrán validez durante
la vigencia del presente Acuerdo y una vez terminado este.
En
particular, las partes se comprometen a respetar el deber de confidencialidad,
y las limitaciones en su caso marcadas por la normativa de aplicación, sobre
cualquier información a la que se tenga acceso en la realización de actividades
objeto de este Acuerdo, salvo aquella información que deba ser pública según lo
establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la
información pública y buen gobierno y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la
Comunidad de Madrid.
El
tratamiento de los datos del presente Acuerdo queda sometido a la normativa
anteriormente citada, así como a la vigente en cada momento, en los términos
dispuestos en el Anexo del presente Acuerdo.
Quinto. Duración de la encomienda
La
presente encomienda surtirá efectos desde el día de su publicación en el
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID, y estará vigente hasta que se
produzca el reinicio de la actividad y el retorno de los residentes a la Casa
Familiar San Francisco de Asís Hermanos Franciscanos de Cruz Blanca, momento en
el que se dará por finalizada la presente encomienda de gestión, no pudiendo
superar la misma el plazo de seis meses.
ANEXO
ACUERDO DE ENCARGO DE TRATAMIENTO
En el
presente acuerdo las partes fijan formalmente y por escrito los términos y
condiciones para regular el tratamiento de datos de carácter personal y la
confidencialidad de la información suministrada y creada entre ellas.
Primera. Responsable y encargado del tratamiento
La
Dirección General de Atención a Personas con Discapacidad tendrá la
consideración de Responsable del tratamiento y la Agencia Madrileña de Atención
Social, tendrá la consideración de Encargado del tratamiento, conforme a lo
establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos (en adelante, RGPD), así
como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales, y en el
resto de normativa vigente en la materia.
En
consecuencia, el acceso a datos de carácter personal en el marco de este
acuerdo, se realiza con el único fin de dar cumplimiento al objeto del mismo y
no se considerará como una cesión o comunicación de datos.
Segunda. Definiciones
Los
términos específicos en materia de protección de datos serán interpretados
conforme a las definiciones establecidas en el artículo 4 del RGPD.
Tercera. Objeto del encargo de tratamiento
Mediante
las presentes cláusulas se habilita a la Agencia Madrileña de Atención Social,
Encargada del tratamiento, para tratar por cuenta de la Dirección General de
Atención a Personas con Discapacidad, Responsable del tratamiento, los datos de
carácter personal necesarios para desarrollar la tramitación y resolución de la
adjudicación de plazas en centros de la red pública de atención a personas con
discapacidad. Integración en la Tarjeta Social Digital.
Entre los
datos que conforman el expediente individualizado de las personas atendidas en
los centros y servicios de atención social especializada a personas con
enfermedad mental grave y duradera: Informes de Salud Mental, Informes
actualizados, informes profesionales del proceso de atención. Tarjeta Social
Digital.
El
tratamiento de los datos personales comprenderá: recogida, registro,
estructuración modificación, conservación, consulta, cotejo, destrucción y
cualquier otro que requiera el objeto del Acuerdo que se suscribe.
Cuarta. Identificación de la información
afectada
Para la
ejecución de la/s actuación/actuaciones derivadas del cumplimiento del objeto
de este encargo, el Responsable del tratamiento pone a disposición del
Encargado, la información que se describe a continuación, correspondiente a la
actividad de tratamiento ʺAdjudicación de plazas de Centros de A. Social
Especializados de la C. Madridʺ:
-
Interesados: Usuarios de los centros y servicios de atención social
especializada a personas con enfermedad mental, familiares, tutores o
representantes legales, profesionales y/o voluntarios.
- Datos
personales del tratamiento a los que se puede acceder: Datos de carácter identificativo,
Datos características personales, Datos de circunstancias sociales, Datos
académicos y profesionales, Datos detalles del empleo, Datos económicos,
financieros y de seguros. Datos especialmente protegidos.
Quinta. Duración
El
presente acuerdo tiene una duración coincidente con el periodo de vigencia del
Acuerdo suscrito, sin perjuicio de las obligaciones que, conforme al clausulado
del presente acuerdo de encargo hayan de extenderse más allá de dicho período.
Sexta. Deber de confidencialidad
El
Encargado del tratamiento se obliga a guardar la máxima reserva y secreto sobre
la información clasificada como confidencial facilitada por el Responsable del
Tratamiento a efectos de dar cumplimiento al objeto del Acuerdo.
Tendrá la
consideración de información confidencial toda la información susceptible de
ser revelada por escrito, de palabra o por cualquier otro medio o soporte,
tangible o intangible, actualmente conocido o que posibilite el estado de la
técnica en el futuro, intercambiada como consecuencia de este Acuerdo, en
especial la información y datos personales a los que el Encargado haya accedido
o acceda durante su ejecución.
Las
partes se comprometen a mantener el compromiso de confidencialidad respecto a
la información y material facilitado y recibido en virtud del presente Acuerdo
durante la vigencia del mismo, así como de forma indefinida tras su
finalización, obligándose a:
a)
Utilizar la información de forma reservada.
b) No
divulgar ni comunicar la información facilitada o recibida, salvo resolución
motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de
Madrid.
c)
Impedir la copia o revelación de esa información a terceros, salvo que goce de
aprobación escrita de las partes y únicamente en los términos de tal
aprobación.
d) Se
restringirá el acceso a la información a sus empleados y colaboradores, salvo
en la medida en que razonablemente puedan necesitarla para el cumplimiento de
sus tareas acordadas.
e) No
utilizar la información o fragmentos de ésta para fines distintos de la
ejecución de este Acuerdo.
f)
Cumplir con todos los términos fijados en el presente acuerdo y muy
especialmente aquellos relativos a las cláusulas sobre confidencialidad,
manteniendo esta confidencialidad y evitando revelar la información a toda
persona que no sea empleado o subcontratado.
Las
partes serán responsables ante el incumplimiento de esta obligación, ya sea por
sus empleados, voluntarios, subencargados, etc.
La
obligación de confidencialidad tendrá carácter indefinido, manteniéndose en
vigor con posterioridad a la finalización por cualquier causa de la relación
entre las partes incurriendo en caso contrario en las responsabilidades
previstas en la legislación vigente.
El
Encargado será responsable de que su personal, colaboradores, voluntarios y en
general, todas las personas de su responsabilidad que tengan acceso a la
información confidencial y a los datos personales del Responsable, respeten la
confidencialidad de la información, así como las obligaciones relativas al
tratamiento de datos de carácter personal, aun después de finalizar su relación
con el Encargado, entendiéndose circunscritas estas obligaciones tanto al
ámbito interno de la entidad como al ámbito externo de la misma. Por tanto, el
Encargado realizará cuantas advertencias y suscribirá cuantos documentos sean
necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas
obligaciones, así como del cumplimiento de las medidas de seguridad
correspondientes, incluidas las que consten en los documentos de seguridad de
las dependencias de la Comunidad de Madrid en las que, en su caso, hubieran de
desarrollar su trabajo.
A estos
efectos, el Encargado se compromete a llevar un listado del personal/personas
autorizadas para tratar los datos personales, que estará en todo momento a
disposición del Responsable.
La
Comunidad de Madrid se reserva el derecho al ejercicio de las acciones legales
oportunas en caso de que, bajo su criterio, se produzca un incumplimiento de
dichos compromisos.
El
Encargado mantendrá a disposición del Responsable la documentación acreditativa
del cumplimiento de las obligaciones anteriormente señaladas.
Séptima. Obligaciones del Encargado del
tratamiento
El
Encargado del tratamiento asume, junto al resto de las contenidas en el
presente acuerdo, las siguientes obligaciones:
-
Acceder, utilizar y destinar los datos personales objeto de tratamiento, o los
que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En
ningún caso podrá utilizar los datos para fines propios.
- Tratar
los datos de acuerdo con las instrucciones del Responsable del tratamiento
conforme al contenido de este Acuerdo y a, en su caso, las instrucciones que le
pueda especificar en concreto. Si el Encargado considera que alguna de las
instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra
disposición en materia de protección de datos de la Unión Europea o de los
Estados miembros, informará inmediatamente al Responsable.
-
Facilitar, en el momento de la recogida de los datos, la información relativa a
los tratamientos de datos que se van a realizar. La redacción y el formato en
que se facilitará la información se debe consensuar con el Responsable antes
del inicio de la recogida de los datos.
- Asumir
la condición de Responsable del tratamiento en caso de que destine los datos a
otra finalidad distinta del cumplimiento del objeto del Acuerdo, los comunique
o los utilice incumpliendo sus estipulaciones o las obligaciones de la
normativa vigente, respondiendo de las infracciones en las que hubiera
incurrido personalmente.
- No
permitir el acceso a los datos de carácter personal responsabilidad del
Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos
para el desarrollo y correcto cumplimiento del objeto del Acuerdo suscrito.
- No
revelar, transferir, ceder o de otra forma comunicar los datos de carácter
personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por
medios electrónicos, papel o mediante acceso informático, ni siquiera para su
conservación, a ningún tercero, salvo que exista autorización o instrucción
previa del Responsable, que deberá constar, en todo caso, por escrito.
A estos
efectos, el Encargado podrá comunicar los datos a otros Encargados del
tratamiento del mismo Responsable, de acuerdo con las instrucciones de dicho
Responsable. En este caso, el Responsable identificará, de forma previa y por
escrito, la entidad a la que se deben comunicar los datos, los datos concretos
a comunicar y las medidas de seguridad a aplicar para proceder a la
comunicación.
- Tratar
los datos personales dentro del Espacio Económico Europeo u otro espacio
considerado por la normativa aplicable como de seguridad equivalente, no
tratándolos fuera de este espacio ni directamente ni a través de subencargado/s
autorizado/s conforme a lo establecido en el Acuerdo suscrito o demás
documentos convencionales que pudieran adicionarse o complementar al mismo,
salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado
miembro que le resulte de aplicación.
En el
caso de que por causa de Derecho nacional o de la Unión Europea el Encargado se
vea obligado a llevar a cabo alguna transferencia internacional de datos,
informará por escrito al Responsable de esa exigencia legal, con antelación
suficiente a efectuar el tratamiento, y garantizará el cumplimiento de
cualesquiera requisitos legales que sean aplicables al Responsable del
tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes
de interés público.
- Adoptar
y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD y en
el Real Decreto vigente por el que se regula el Esquema Nacional de Seguridad
(ENS), que garanticen la seguridad de los datos de carácter personal
responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
de los datos almacenados y los riesgos a que estén expuestos, ya provengan de
la acción humana o del medio físico o natural.
-
Garantizar, a lo largo de toda la vigencia del Acuerdo, la formación necesaria
en materia de protección de datos personales de las personas autorizadas para
tratar datos personales.
- En caso
de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el
Encargado mantendrá un registro, incluso en formato electrónico, de todas las
categorías de actividades de tratamiento efectuadas por cuenta del Responsable,
que contenga la información exigida por el artículo 30.2 del RGPD.
- Asístir
al Responsable del tratamiento, teniendo en cuenta la naturaleza del
tratamiento, a través de medidas técnicas y organizativas apropiadas, para que
este pueda cumplir con su obligación de responder a las solicitudes que tengan
por objeto el ejercicio de los derechos de los interesados en los términos
dispuestos en la cláusula undécima del presente acuerdo, y le ayudará a
garantizar el cumplimiento de las obligaciones establecidas en los artículos 32
a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la
información a disposición del Encargado.
-
Colaborar con el Responsable en el cumplimiento de sus obligaciones en materia
de medidas de seguridad, comunicación y/o notificación de brechas (logradas e
intentadas) de medidas de seguridad a las autoridades competentes o los interesados,
y colaborar en la realización de evaluaciones de impacto relativas a la
protección de datos personales y consultas previas al respecto a las
autoridades competentes cuando proceda, teniendo en cuenta la naturaleza del
tratamiento y la información de la que disponga, y de conformidad con las
disposiciones contenidas en la cláusula novena del presente acuerdo.
-
Disponer de evidencias que demuestren su cumplimiento de la normativa de
protección de Datos Personales y del deber de responsabilidad activa, como, a
título de ejemplo, certificados previos sobre el grado de cumplimiento o
resultados de auditorías, que habrá de poner a disposición del Responsable, a
requerimiento de este. Asimismo, durante la vigencia del acuerdo, pondrá a
disposición del Responsable toda información, certificaciones y auditorías
realizadas en cada momento. Igualmente, proporcionará al Responsable cuantos
datos o documentos le sean requeridos en los controles, auditorías o
inspecciones que realice en cualquier momento el propio Responsable del
tratamiento u otro auditor autorizado por este.
- En caso
de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de
la LOPDGDD, designar un Delegado de Protección de Datos y comunicar su
identidad y datos de contacto al Responsable, así como cumplir con el resto de
requerimientos establecidos en los artículos 37 a 39 del RGPD y 35 a 37 de la
LOPDGDD. En los mismos términos se procederá en caso de que la designación haya
sido voluntaria.
Asimismo,
el Encargado habrá de comunicar la identidad y datos de contacto de la(s)
persona(s) física(s) designada(s) por el mismo como su/s representante(s) a
efectos de protección de los Datos Personales, responsable(s) del cumplimiento
de la regulación del tratamiento de datos personales, en las vertientes
legales/formales y en las de seguridad.
-
Respetar todas las obligaciones que pudieran corresponderle como Encargado del
tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición
o regulación complementaria que le fuera igualmente aplicable.
Octava. Obligaciones del responsable del
tratamiento
El
Responsable manifiesta y hace constar a los efectos legales oportunos que:
a) Cumple
con todas sus obligaciones en materia de protección de datos como responsable
del tratamiento y es consciente de que los términos de este Acuerdo en nada
alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles
al Responsable del Tratamiento como tal.
b)
Supervisa el tratamiento y el cumplimiento de la normativa de protección de
datos por parte del Encargado del Tratamiento.
Novena. Medidas de seguridad y violación de la
seguridad
Teniendo
en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el
alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, el Encargado del tratamiento aplicará las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, que en su caso incluya, entre:
a) La
seudonimización y el cifrado de datos personales.
b) La
capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento, así como la
disponibilidad y el acceso a los datos personales de forma rápida en caso de
incidente físico o técnico.
c) Un
proceso de verificación, evaluación y valoración regulares de la eficacia de
las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
d) Un
catálogo de medidas de seguridad reconocido en normativas o estándares de
seguridad de la información.
Al evaluar
la adecuación del nivel de seguridad, el Encargado tendrá en cuenta los riesgos
que presente el tratamiento de datos, en particular como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso
no autorizados a esos datos.
El
Encargado del Tratamiento permitirá y contribuirá a la realización de
controles, auditorías e inspecciones, por parte del Responsable del tratamiento
o de otro auditor autorizado por este.
Asimismo,
en caso de modificación de la normativa vigente en materia de protección de
datos o de otra normativa relacionada y que resultase aplicable al tratamiento
objeto del Acuerdo de referencia, el Encargado garantiza la implantación y
mantenimiento de cualesquiera otras medidas de seguridad que le fueran
exigibles, sin que ello suponga una modificación de los términos de este
Acuerdo.
En caso
de violación de la seguridad de los datos personales en los sistemas de
información utilizados por el Encargado para la prestación de los servicios
objeto del Acuerdo, este deberá comunicarla al Responsable, sin dilación
indebida, y a más tardar en el plazo de 24 horas desde que se tenga constancia
de la misma, juntamente con toda la información relevante para la documentación
y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento
y gestión de la información que haya tenido o pueda tener, que ponga en peligro
la seguridad de los datos personales, su integridad o su disponibilidad, así
como cualquier posible vulneración de la confidencialidad como consecuencia de
la puesta en conocimiento de terceros de los datos e informaciones obtenidos
durante la ejecución del Acuerdo. Comunicará con diligencia información detallada
al respecto, incluso concretando qué interesados sufrieron una pérdida de
confidencialidad, todo ello conforme a lo dispuesto en el artículo 33.3 del
RGPD.
En tal
caso, corresponderá al Responsable comunicar las violaciones de seguridad de
los datos a la Autoridad de Protección de Datos y/o a los interesados conforme
a lo establecido en la normativa vigente. Y en cualquier otro caso cuando así
sea de aplicación conforme a lo establecido en la normativa vigente.
Décima. Destino de los datos al finalizar el Acuerdo
Una vez
cumplido o resuelto el Acuerdo y, en consecuencia, finalizado el encargo, el
Encargado devolverá al Responsable del tratamiento los datos de carácter
personal y, si procede, los soportes donde consten, una vez cumplida la
prestación. La devolución debe comportar el borrado total de los datos
existentes en los equipos informáticos utilizados por el encargado. No
obstante, el Encargado puede conservar una copia, con los datos debidamente
bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la
prestación.
No
obstante, el Responsable del Tratamiento podrá requerir al encargado para que,
en lugar de las actuaciones anteriormente señaladas, cumpla con la opción a) o
b) que se indican a continuación:
a)
Devolver al Encargado que designe por escrito el Responsable del tratamiento
los datos de carácter personal y, si procede, los soportes donde consten, una
vez cumplida la prestación.
La
devolución debe comportar el borrado total de los datos existentes en los
equipos informáticos utilizados por el encargado. No obstante, el Encargado
puede conservar una copia, con los datos debidamente bloqueados, mientras
puedan derivarse responsabilidades de la ejecución del Acuerdo.
b)
Destruir los datos, siempre que no exista previsión legal que exija la
conservación de los datos, en cuyo caso no podrá procederse a su destrucción.
Una vez
destruidos, el Encargado debe certificar su destrucción por escrito y debe
entregar el certificado al Responsable del tratamiento. No obstante, el
Encargado puede conservar una copia, con los datos debidamente bloqueados,
mientras puedan derivarse responsabilidades de su relación con el mismo,
destruyéndose de forma segura y definitiva al extinguirse cualquier posible
responsabilidad.
Undécima. Ejercicio de derechos ante el Encargado
de tratamiento ()
El
Encargado deberá dar traslado al Responsable de cualquier solicitud de
ejercicio del derecho de acceso, rectificación, supresión y oposición,
limitación del tratamiento, portabilidad de los datos y a no ser objeto de
decisiones individualizadas automatizadas, efectuada por un interesado cuyos
datos hayan sido tratados por el Encargado con motivo del cumplimiento del
Acuerdo, a fin de que se resuelva en los plazos establecidos por la normativa
vigente.
El
traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad
posible y en ningún caso más allá del día laborable siguiente al de la
recepción de la solicitud, juntamente, en su caso, con la documentación y otras
informaciones que puedan ser relevantes para resolver la solicitud que obre en
su poder.
Asimismo,
el Encargado deberá tramitar cualquier instrucción relativa a derechos de
acceso, rectificación, supresión y oposición, limitación del tratamiento,
portabilidad de los datos y a no ser objeto de decisiones individualizadas
automatizadas, que reciba a través del Responsable, a la mayor celeridad
posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde
la recepción de la solicitud, confirmando por escrito tanto la recepción de la
solicitud, como la ejecución de la tarea encomendada.
Duodécima. Subencargo del tratamiento
Con
carácter general el Encargado no podrá subencargar las prestaciones que formen
parte del objeto de este Acuerdo y que comporten el tratamiento de datos
personales, salvo los servicios auxiliares necesarios para su normal
funcionamiento.
Sin
perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar
todo o parte de los servicios encargados por el Responsable en los que
intervenga el tratamiento de datos personales, deberá comunicarlo previamente y
por escrito al Responsable, con una antelación de 1 mes, indicando los
tratamientos que se pretende subencargar e identificando de forma clara e
inequívoca la empresa subencargada y sus datos de contacto.
El
subencargo podrá llevarse a cabo si el Responsable no manifiesta su oposición
en el plazo establecido.
En este
último caso, el subencargado, que también tendrá la condición de encargado del
tratamiento, está obligado igualmente a cumplir las obligaciones establecidas
en este documento para el Encargado del tratamiento y las instrucciones que
dicte el Responsable del Tratamiento.
Corresponde
a Encargado del tratamiento exigir al subencargado el cumplimiento de las
mismas obligaciones asumidas por él a través del presente documento y seguirá
siendo plenamente responsable ante el Responsable del Tratamiento en lo
referente al cumplimiento de las obligaciones.
El
Encargado del Tratamiento está obligado a informar al Responsable de cualquier
cambio en la incorporación o sustitución de otros subencargados con una
antelación de 1 mes, dando así al Responsable la oportunidad de oponerse a
dichos cambios.
Decimotercera. Responsabilidad
El
Encargado será considerado Responsable del tratamiento en el caso de que
destine los datos a otras finalidades, los comunique o los utilice incumpliendo
las estipulaciones de este Acuerdo, respondiendo de las infracciones en las que
hubiera incurrido personalmente.
Para el
cumplimiento del objeto del Acuerdo suscrito no se requiere que el Encargado
acceda a ningún otro dato personal responsabilidad del Responsable del tratamiento
y, en consecuencia, no está autorizado en caso alguno al acceso o tratamiento
de otro dato, que no sean los especificados en dicho texto convencional. Si se
produjera una incidencia durante la ejecución del Acuerdo que conllevará un
acceso accidental o incidental a esos datos personales, el Encargado deberá
ponerlo en conocimiento del Responsable, en concreto de su Delegado de
Protección de Datos, con la mayor diligencia y a más tardar en el plazo de 24
horas.
Las
partes responderán de las infracciones en las que hubiesen incurrido
personalmente, manteniendo indemne a la parte contraria frente a cualquier
perjuicio que se derivase de ellas.
Este documento no tiene valor jurídico, solo
informativo. Los textos con valor jurídico son los de la publicación oficial.