Contrato de encargado del tratamiento

La prestación de servicios indicada en las Condiciones Generales de Contratación suscritas entre El Embrollo S.L. (Praxdate) y El Cliente (en adelante, LAS PARTES) supone que el primero, en su condición de encargado del tratamiento (en adelante, EL ENCARGADO DEL TRATAMIENTO), realice un tratamiento de datos en nombre de El Cliente (RESPONSABLE DEL TRATAMIENTO). A estos efectos, y con la finalidad de dar cumplimiento a lo dispuesto en el Reglamento 2016/679 de 27 de abril de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (indistintamente “Reglamento General de Protección de Datos” o “RGPD” en lo sucesivo) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales , ambas partes acuerdan su sujeción a las siguientes

Estipulaciones

PRIMERA.- El presente Anexo se adhiere a las Condiciones Generales de Contratación suscritas entre LAS PARTES, por lo que la aceptación de las mismas por parte de El Cliente implica, a su vez, la aceptación íntegra de las estipulaciones contenidas en el presente documento.

SEGUNDA.- EL ENCARGADO DEL TRATAMIENTO se compromete a guardar la máxima reserva y secreto sobre la información del Cliente clasificada como confidencial. Se considerará información confidencial cualquier dato al que EL ENCARGADO DEL TRATAMIENTO acceda en virtud del servicio contratado, en especial la información y datos propios de EL RESPONSABLE DEL TRATAMIENTO a los que haya accedido o acceda durante la ejecución del mismo.

La obligación de confidencialidad recogida en el presente contrato tendrá carácter indefinido.

TERCERA.- EL RESPONSABLE DEL TRATAMIENTO, es, con carácter único, quien decidirá sobre la finalidad, contenido y uso de los datos de carácter personal a los que pudiera acceder EL ENCARGADO DEL TRATAMIENTO.

CUARTA.- EL ENCARGADO DEL TRATAMIENTO, se obliga a:

  1. Tratar los datos personales únicamente siguiendo instrucciones documentadas de EL RESPONSABLE DEL TRATAMIENTO, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, EL ENCARGADO DEL TRATAMIENTO informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
  2. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
  3. Tomar todas las medidas necesarias para la gestión de la seguridad del tratamiento de los datos de carácter personal:
    1. Para ello, EL ENCARGADO DEL TRATAMIENTO tendrá en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas
    2. EL ENCARGADO DEL TRATAMIENTO aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
      1. La seudonimización y el cifrado de datos personales.
      2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
      4. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
    3. Para la evaluación de la adecuación del nivel de seguridad EL ENCARGADO DEL TRATAMIENTO tendrá particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
    4. EL ENCARGADO DEL TRATAMIENTO tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
  4. En relación con la posible subcontratación del servicio:
    1. EL ENCARGADO DEL TRATAMIENTO no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, de EL RESPONSABLE DEL TRATAMIENTO. En este último caso, EL ENCARGADO DEL TRATAMIENTO informará a EL RESPONSABLE DEL TRATAMIENTO con un plazo de 15 días, de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así a EL RESPONSABLE DEL TRATAMIENTO la oportunidad de oponerse a dichos cambios.
    2. En caso de que EL ENCARGADO DEL TRATAMIENTO recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente contrato, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con la normativa aplicable en materia de protección de datos. Si ese otro encargado incumple sus obligaciones de protección de datos, EL ENCARGADO DEL TRATAMIENTO seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
    3. EL RESPONSABLE DEL TRATAMIENTO autoriza en este acto, a que, de conformidad con las obligaciones estipuladas en el presente documento, EL ENCARGADO DEL TRATAMIENTO subcontrate los servicios que se enumeran en el apartado de descripción del tratamiento de datos con las entidades indicadas en el mismo.
  5. EL ENCARGADO DEL TRATAMIENTO asistirá a EL RESPONSABLE DEL TRATAMIENTO, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento General de Protección de Datos.
  6. EL ENCARGADO DEL TRATAMIENTO ayudará a EL RESPONSABLE DEL TRATAMIENTO a garantizar el cumplimiento de las siguientes obligaciones estipuladas en el Reglamento General de Protección de Datos:
    1. La seguridad del tratamiento, en los términos del artículo 32 RGPD.
    2. La notificación de una violación de la seguridad de los datos personales a la autoridad de control, en los términos del artículo 33 RGPD.
    3. La comunicación de una violación de la seguridad de los datos personales al interesado, en los términos del artículo 34 RGPD.
    4. La realización de una evaluación de impacto relativa a la protección de datos, en los términos del artículo 35 RGPD.
    5. La realización de una consulta previa la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, en los términos del artículo 36 RGPD.
  7. A elección de EL RESPONSABLE DEL TRATAMIENTO, EL ENCARGADO DEL TRATAMIENTO suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
  8. EL ENCARGADO DEL TRATAMIENTO pondrá a disposición de EL RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 RGPD y que se estipulan en el presente contrato, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

QUINTA.- EL RESPONSABLE DEL TRATAMIENTO, se obliga a:

  1. Tratar los datos personales conforme a las obligaciones establecidas en la normativa vigente en cada momento. En particular, y a título meramente enunciativo y no limitativo, EL RESPONSABLE DEL TRATAMIENTO se obliga a:
    1. Tratar los datos de conformidad con los principios del Reglamento General de Protección de Datos.
    2. En aquellos casos en los que resultara obligatorio, a haber obtenido el consentimiento inequívoco, o en su caso explícito de los afectados por el tratamiento de datos.
    3. EL RESPONSABLE DEL TRATAMIENTO declara haber aplicado y aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
      1. La seudonimización y el cifrado de datos personales.
      2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
      3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
      4. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
    4. EL RESPONSABLE DEL TRATAMIENTO tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

SEXTA.- INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS DE LOS INTERNVINIENTES EN EL PRESENTE ACUERDO.

EL ENCARGADO DEL TRATAMIENTO, informa en este acto, a los intervinientes en el presente acuerdo que sus datos serán objeto de tratamiento en los siguientes términos:

Los datos serán tratados con la finalidad de llevar a cabo la gestión de la relación contractual establecidas entre las partes. La base jurídica del tratamiento es el interés legítimo del responsable en la gestión del cumplimiento de las obligaciones legales y contractuales derivadas del presente acuerdo. No se realizarán cesiones de datos, salvo en aquellos casos en los que exista obligación legal. Los datos personales se conservarán en tanto se mantenga la relación mercantil. Posteriormente, serán tratados durante los plazos de prescripción de las acciones que pudieran derivarse de la relación jurídica establecida entre las partes.

Tiene derecho a obtener confirmación sobre si estamos tratando datos personales que le conciernan, o no. Como interesado, tiene derecho a acceder a sus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos.

En aquellos supuestos en los que legalmente proceda, tendrá el derecho a la portabilidad de los datos, lo que implica que tiene derecho a recibir los datos personales relativos a su persona, que estemos tratando, y almacenarlos en un dispositivo propio, este derecho también le permite solicitarnos que comuniquemos sus datos a otro responsable del tratamiento. En determinadas circunstancias, podrá solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones.

En determinadas circunstancias y por motivos relacionados con su situación particular, podrá oponerse al tratamiento de sus datos. En ese supuesto, la entidad dejará de tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.

Asimismo, en caso de que considere que existe un problema o una incidencia en relación con el tratamiento de sus datos, puede contactar con la entidad a través de la dirección de correo electrónico lopd@praxdate.com y en cualquier caso, tiene derecho a presentar una reclamación ante la Autoridad de Control en materia de protección de datos de carácter personal, que en el caso de España es la Agencia Española de Protección de Datos.

SÉPTIMA.- DURACIÓN: el presente Acuerdo comenzará en la Fecha de Inicio y continuará en pleno vigor y efecto hasta la fecha posterior de:

  1. la terminación o expiración de la prestación del servicio; o
  2. la terminación del último de los Servicios a ser ejecutados de conformidad con el acuerdo principal de prestación del servicio.

Las disposiciones del presente Acuerdo se aplicarán a cualquier Tratamiento de Datos Personales recibido antes de la ejecución del Acuerdo o de la Fecha de Inicio, incluso durante cualquier fase transitoria o de migración.

OCTAVA.- RESPONSABILIDAD. Cuando resultare acreditado que como consecuencia de un incumplimiento, cumplimiento defectuoso o mera inobservancia de las obligaciones estipuladas en el presente contrato o en lo previsto en la normativa aplicable, EL ENCARGADO DEL TRATAMIENTO haya causado un perjuicio directo (determinado en un procedimiento administrativo o judicial) en su calidad de encargado del tratamiento a EL RESPONSABLE DEL TRATAMIENTO, EL ENCARGADO DEL TRATAMIENTO asumirá el pago máximo de una cuantía igual al importe de una anualidad del servicio contratado.

NOVENA.- DESCRIPCIÓN DETALLADA DEL TRATAMIENTO.

  1. Descripción detallada del tratamiento: El tratamiento de datos consistirá en la realización de operaciones de tratamiento de datos relativas a la gestión de bases de datos de clínicas quiroprácticas.
  2. La tipificación del tratamiento consistirá en: La estructuración y conservación de los datos tratados en el contexto de la prestación del servicio.
  3. Categorías de interesados: Se tratarán datos de los Clientes del Responsable del tratamiento.
  4. Identificación de la información afectada: Nombre, apellidos, DNI, correo electrónico y teléfono móvil de los pacientes del Cliente.
  5. Categorías especiales de datos: Historia clínica de los Clientes del Responsable del tratamiento.
  6. Relación de entidades subcontratistas que pueden acceder a datos de carácter personal en los términos de la estipulación 4ª:
    DenominaciónServicioUbicación del tratamiento de datos
    Linode (Akamai)Servicio de hostingUnión Europea
  7. Localización de los datos: Unión Europea
  8. Datos de contacto de Protección de Datos: lopd@praxdate.com

DÉCIMA.FUERO: para la solución de cualquier discrepancia, cuestión o reclamación derivada directa o indirectamente de la interpretación o ejecución del presente Contrato, las partes renuncian al fuero propio que pudiera corresponderles y se someten a la jurisdicción de los Juzgados y Tribunales de Sevilla (España).