En LOGROÑO (provincia de LA RIOJA) a …………, de …………20…

REUNIDOS

De una parte, DON NURIA UGARTE LOPEZ, mayor de edad, vecino a efectos de este documento de C/ PEDREGALES, Nº 8 – BAJO LOGROÑO (provincia de LA RIOJA), con N.I.F. 71339426G.

Y de otra, DON ………………., mayor de edad, y vecino a efectos de este documento de Calle el Plano, 2 – 1, Oyon, 01320 , Alava con N.I.F número …………………

INTERVIENEN

Don  NURIA UGARTE LOPEZ en nombre y representación de la compañía mercantil denominada NURIA UGARTE, S.L.P., domiciliada en C/ PEDREGALES, Nº 8 – BAJO LOGROÑO (provincia de LA RIOJA), CIF nº B26370056, en adelante EL CLIENTE.

Y Don ………………. en nombre y representación de la compañía mercantil denominada Wombat Marketing Agency, s.l. , domiciliada en  Calle el Plano, 2 – 1, Oyon, 01320 , Alava , con CIF número B01545615, en adelante EL PRESTADOR DE SERVICIOS.

Y reconociéndose ambas recíproca e individualmente como la “parte” o conjuntamente como las “partes”, según concurren con la capacidad legal necesaria para contratar y obligarse, libremente.

EXPONEN

I.- Que ambas partes tienen suscrito un contrato de prestación de servicios (en adelante Contrato Principal) que habilita al PRESTADOR DE SERVICIOS, encargado del tratamiento, para tratar por cuenta del CLIENTE, responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de Diseño y mantenimiento página web . Dicha prestación de servicio se realizará mediante acceso del PRESTADOR DE SERVICIOS por  (R)Remoto a través de redes de comunicaciones; (O)En las propias instalaciones a los ficheros cuyo Responsable es EL CLIENTE.

II.-Que, en cumplimiento de la normativa en protección de datos, las partes acuerdan otorgar el presente CONTRATO DE ENCARGO DEL TRATAMIENTO DE DATOS PERSONALES, que como ANEXO al Contrato Principal se une al mismo, con el fin de establecer las condiciones en las que EL PRESTADOR DE SERVICIOS va a tratar los datos de carácter personal como consecuencia de los servicios, lo que llevan a efecto en base a las siguientes

ESTIPULACIONES

Primera.- Objeto del encargo del tratamiento

Mediante las presentes cláusulas se habilita a la entidad  Wombat Marketing Agency, s.l. como encargada del tratamiento, para tratar por cuenta de NURIA UGARTE, S.L.P. en calidad de responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de  Diseño y mantenimiento página web.

Segunda.- Actividad de tratamiento e identificación de la información afectada.

2.1 Actividad de tratamiento.

El tratamiento consistirá en el servicio de  Diseño y mantenimiento página web  que implicará las siguientes actividades seleccionadas: ‘ Recogida               Registro; Estructuración; Modificación; Conservación; Extracción; Consulta; Interconexión; Cotejo; Destrucción‘

2.2 Identificación de la información afectada.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo,

  NURIA UGARTE, S.L.P. , responsable del tratamiento, pone a disposición de la entidad  Wombat Marketing Agency, s.l. , encargada del tratamiento, la información referente a sus colectivos de Usuarios con respecto a datos sobre: Datos de Identificación y Circunstancias Personales; Datos de Información Comercial 

Tercera.- Derecho de información en la recogida de datos.

Para la prestación del servicio objeto de este contrato, si fuese necesario realizar la recogida de datos de carácter personal, será en todo caso el responsable del tratamiento quien elabore los formularios de solicitud de los mismos, la tipología de datos a recabar, así como la elaboración de cláusula legal que cumpla con el deber de informar al afectado. El encargado del tratamiento deberá poner en conocimiento del responsable la necesidad de la recogida de los datos para poder utilizar el formulario de recogida que elabore el responsable.

En cualquier caso, el encargado del tratamiento custodiará los formularios de recogida de datos (automatizados o no automatizados) y los tendrá a disposición del responsable.

Cuarta.- Duración

El presente acuerdo tiene una duración de Fin contrato principal prestación de servicios.

Una vez finalice el presente contrato, el encargado del tratamiento debe proceder según lo descrito en el párrafo 13 de la cláusula Quinta ‘Destino de los Datos’ con respecto a los datos personales   y suprimir cualquier copia que esté en su poder.

Quinta.- Obligaciones del encargado del tratamiento.

El encargado del tratamiento y todo su personal se obliga a:

1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

2. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

3. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

a. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

b. Las categorías de tratamientos efectuados por cuenta de cada responsable.

c. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

d. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

a) La seudonimización y el cifrado de datos personales, si fuera necesario.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

13

4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

El encargado del tratamiento durante la ejecución del contrato se obliga a comunicar con carácter previo al responsable de  las transferencias  internacionales de  datos  a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, en todo caso informará al responsable, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Subcontratación del tratamiento de datos:

El encargado del tratamiento para la ejecución del presente contrato no requiere subcontratar ninguna de las prestaciones  que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

5. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

6. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad[1] y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

7. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

8. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

9. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

  1. Acceso, rectificación, supresión y oposición.
  2. Limitación del tratamiento.
  3. Portabilidad de datos.
  4. A no ser objeto de decisiones individualizadas automatizadas (incluida

la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección facilitada a tal efecto por el Responsable de tratamiento.

10. Notificación de violaciones de la seguridad de los datos.

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas y a través de correo electrónico las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Si durante la prestación del servicio con acceso a datos se produjera una violación de seguridad, corresponde al responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

               Si durante la prestación del servicio con acceso a datos se produjera una violación de seguridad, corresponde al responsable del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

11. El encargado del tratamiento se obliga a poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

12. Medidas de seguridad

El Encargado del tratamiento para la prestación del servicio  se obliga a adoptar las medidas de seguridad  que correspondan en función de la naturaleza de los datos tratados de conformidad con lo dispuesto en la normativa vigente  respondiendo de la alteración, pérdida, tratamiento o acceso no autorizado de los datos cuando ello sea debido a causas imputables directa y exclusivamente al propio encargado  o a sus subcontratistas, habida cuenta del estado de la tecnología, la naturaleza de los datos y los riesgos a los que estén expuestos. 

Como mínimo, el Encargado de Tratamiento debe aplicar en sus sistemas de tratamiento las siguientes medidas de seguridad:

  1. Utilizar técnicas de Seudonimización y cifrado sobre los procedimientos de transmisión de datos pertenecientes en categorías especiales través de redes de telecomunicaciones.
  2. Funciones y obligaciones del personal: Las funciones y las obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal responsabilidad del Responsable del tratamiento y a los sistemas de información estarán claramente definidas y documentadas por el Encargado de tratamiento.
  3. Registro de incidencias: El Encargado de tratamiento deberá disponer de un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal responsabilidad del Responsable del tratamiento
  4. Control de acceso: Los usuarios deberán tener acceso únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  5. Gestión de soportes y documentos: Los soportes y documentos que contengan datos de carácter personal del Responsable del tratamiento deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado.  Criterios de archivo. Se debe garantizar la correcta conservación, localización y consulta de los documentos y posibilitar el ejercicio de derechos.
  6. Identificación y autenticación: El Encargado del tratamiento debe establecer una segregación interna de funciones adecuada, con la finalidad de gestionar el riesgo de acceso por parte de usuarios no autorizados.
  7. Copias de respaldo y recuperación: El Encargado de tratamiento deberá encargarse de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos responsabilidad del Responsable del tratamiento.
  8. Verificación: El Encargado de tratamiento deberá someterse a un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas periódicamente o tras cada cambio importante en la organización.
  9. Seguridad en los accesos a datos a través de redes de comunicaciones: Las medidas de seguridad exigibles a los accesos a través de redes de comunicaciones deben garantizar un nivel de seguridad equivalente a los accesos en modo local anteriormente mencionados.
  10. Registros de accesos: Para todo tratamiento de dato sensible el prestador de servicios debe mantener un registro de todas las actividades de los usuarios en el sistema de información. Deberá indicar quién realiza la actividad, cuándo la realiza y sobre qué información, sea cual sea el usuario. El registro de acceso se mantendrá un mínimo de los dos últimos años de forma ininterrumpida.
  11. El Encargado de Tratamiento debería contar con un Plan de Contingencia y de Continuidad de negocio que le permitiría garantizar la prestación continua del servicio objeto de encargo con independencia de posibles incidencias que pudieran afectar a su negocio.
  1. :

Una vez finalizada la relación contractual  el encargado del tratamiento se compromete a: –          Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución, en su caso, debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

14. Auditoría de los sistemas e instalaciones del Encargado

El Encargado permitirá, y colaborará con, las auditorías, incluidas las inspecciones, realizadas por el Cliente u otro auditor designado por el Cliente a su empresa en el caso de tratamiento de Datos Personales del Cliente, de conformidad con los siguientes procedimientos:

El Encargado, a petición escrita del Cliente, proporcionará al Cliente o a su auditor designado las certificaciones y/o resúmenes de informes de auditoría más recientes que el Encargado haya obtenido para probar, analizar y evaluar regularmente la eficacia de sus medidas de seguridad, tanto técnicas como operativas proporcionándole información adicional disponible sobre las medidas de seguridad para ayudar al Cliente a comprender mejor dichas Medidas.

Si el Cliente necesitara más información para cumplir sus obligaciones de auditoría o las de otros Responsables del Tratamiento, o porque lo requiriera una Autoridad Supervisora, el Cliente informará al Encargado escrito para posibilitar que el Encargado proporcione dicha información o permita al Cliente el acceso a la misma.

En la medida en que no sea posible satisfacer de otra manera una obligación de auditoría establecida por la legislación aplicable, solo las entidades habilitadas por ley (como una agencia reguladora gubernamental que supervise las operaciones del Cliente), el Cliente o el auditor autorizado por éste podrán realizar una visita in situ a las instalaciones utilizadas para proporcionar el Servicio, durante las horas laborables normales, y solo de una manera que cause el mínimo trastorno en las actividades empresariales del Encargado, sujeta a la coordinación de la agenda de dicha visita y conforme a los procedimientos de una auditoría responsable con el objeto de reducir cualquier riesgo a otros clientes del Encargado.

Cada parte asumirá sus propios costes respecto a lo establecido en los párrafos anteriores.

15. Ayudará al Responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del Reglamento General de Protección de Datos, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.

Sexta.- Obligaciones del responsable del tratamiento.

El Responsable manifiesta a modo expreso que todos los datos suministrados al Encargado para llevar al cabo el servicio solicitado, han sido obtenidos de forma legítima, contando en aquellos casos que se considere necesario con el consentimiento libre, informado e inequívoco por parte del interesado, comprometiéndose además a:

a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.

b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.

c) Realizar las consultas previas que corresponda.

d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Séptima.- Jurisdicción y competencia.

Para cualquier cuestión litigiosa que pudiera suscitarse como consecuencia de la interpretación o incumplimiento de este contrato, las partes se someten a la jurisdicción de los Juzgados y Tribunales de

 LOGROÑO (Provincia de LA RIOJA)

Y en prueba de conformidad, ambas partes firman el presente documento, por duplicado ejemplar, a un sólo efecto, en el lugar y fecha indicados en el encabezamiento.

EL PRESTADOR DEL SERVICIO                                                    FIRMA RESPONSABLE DEL TRATAMIENTO

……………….                                        NURIA UGARTE LOPEZ

—————————————————-                                  —————————————————

Anexo I

Identificación clara e inequívoca de empresas subcontratistas y sus datos de contacto en el supuesto de la estipulación Quinta.4º.

             RAZON SOCIAL                                CIF     DOMICILIO SOCIALTRATAMIENTO DE SUBCONTRATACIÓN