Contrato de Acceso a Datos Personales por Cuenta de Terceros - Formulario Modelo Word y PDF Pro · ES-law

CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES

(Artículo 28 del Reglamento (UE) 2016/679)

En ________, a ________.

REUNIDOS

De una parte, como RESPONSABLE DEL TRATAMIENTO:

Don/Doña ________, mayor de edad, con DNI/NIE n.º ________, y domicilio a efectos del presente Contrato en ________, con dirección de correo electrónico ________. Actúa en su propio nombre y representación (en adelante, el «RESPONSABLE DEL TRATAMIENTO» o el «Responsable»).

Y de otra parte, como ENCARGADO DEL TRATAMIENTO:

Don/Doña ________, mayor de edad, con DNI/NIE n.º ________, y domicilio a efectos del presente Contrato en ________, con dirección de correo electrónico ________. Actúa en su propio nombre y representación (en adelante, el «ENCARGADO DEL TRATAMIENTO» o el «Encargado»).

Ambas partes (en adelante, conjuntamente, las «Partes») se reconocen recíprocamente la capacidad legal necesaria para obligarse y otorgar el presente Contrato y, a tal efecto,

EXPONEN

I.- Que el RESPONSABLE DEL TRATAMIENTO determina los fines y medios del tratamiento de los datos de carácter personal incluidos en su Registro de Actividades de Tratamiento, en el marco del ejercicio de sus actividades.

II.- Que el ENCARGADO DEL TRATAMIENTO va a prestar al RESPONSABLE DEL TRATAMIENTO los siguientes servicios, para cuya ejecución resulta necesario el acceso a datos personales (en adelante, los «Servicios»):

________

III.- Que para la prestación de los Servicios es necesario que el ENCARGADO DEL TRATAMIENTO acceda y trate datos personales cuya responsabilidad corresponde al RESPONSABLE DEL TRATAMIENTO.

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris.

CLÁUSULAS

PRIMERA.- DEFINICIONES.

A los efectos del presente Contrato, los términos que se relacionan a continuación tendrán el significado que en cada caso se indica, sin perjuicio de las definiciones contenidas en el artículo 4 del RGPD:

a) Datos de carácter personal: toda información concerniente a personas físicas identificadas o identificables incluida en las actividades de tratamiento responsabilidad y titularidad del RESPONSABLE DEL TRATAMIENTO.

b) Responsable del tratamiento: la persona física o jurídica que, sola o conjuntamente con otras, determina los fines y medios del tratamiento de los datos personales.

c) Encargado del tratamiento: la persona física o jurídica que trata datos personales por cuenta del Responsable del tratamiento.

d) Interesado: la persona física titular de los datos personales objeto de tratamiento.

e) Violación de la seguridad: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos.

SEGUNDA.- OBJETO.

El presente Contrato tiene por objeto habilitar al ENCARGADO DEL TRATAMIENTO para tratar, por cuenta del RESPONSABLE DEL TRATAMIENTO, identificado como Don/Doña ________, los datos de carácter personal necesarios para la prestación de los Servicios, así como regular la forma y condiciones en las que se llevará a cabo dicho tratamiento, de conformidad con el RGPD y la LOPDGDD.

Los datos de carácter personal serán proporcionados por el RESPONSABLE DEL TRATAMIENTO al ENCARGADO DEL TRATAMIENTO. El RESPONSABLE DEL TRATAMIENTO conservará en todo momento la condición de responsable y los derechos exclusivos sobre dichos datos, así como sobre sus procesos de actualización.

TERCERA.- NATURALEZA, FINALIDAD Y DURACIÓN DEL TRATAMIENTO.

El ENCARGADO DEL TRATAMIENTO tratará los datos personales facilitados por el RESPONSABLE DEL TRATAMIENTO exclusivamente con las finalidades y usos necesarios para la prestación de los Servicios descritos en el presente Contrato, no pudiendo utilizarlos para una finalidad distinta. Las operaciones de tratamiento que el Encargado podrá realizar son las siguientes:

________

El ENCARGADO DEL TRATAMIENTO tratará los datos personales únicamente conforme a las instrucciones documentadas del RESPONSABLE DEL TRATAMIENTO, incluso con respecto a las transferencias internacionales de datos, salvo que esté obligado a ello en virtud del Derecho de la Unión Europea o de los Estados miembros, en cuyo caso informará al Responsable de dicha exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Si el ENCARGADO DEL TRATAMIENTO considera que alguna instrucción infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, lo informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.

CUARTA.- DATOS Y CATEGORÍAS DE INTERESADOS A LOS QUE SE PERMITE EL ACCESO.

Para la ejecución del objeto de este Contrato, el RESPONSABLE DEL TRATAMIENTO pone a disposición del ENCARGADO DEL TRATAMIENTO las siguientes categorías de interesados y los siguientes tipos de datos:

________

En caso de que el tratamiento incluya categorías especiales de datos del artículo 9 del RGPD o datos relativos a condenas e infracciones penales (artículo 10 del RGPD), se hará constar expresamente y se adoptarán las garantías adicionales legalmente exigibles.

QUINTA.- LUGAR DE PRESTACIÓN DE LOS SERVICIOS.

La prestación de los Servicios se realizará en los locales del ENCARGADO DEL TRATAMIENTO sitos en ________. El Encargado mantendrá la documentación acreditativa de las medidas técnicas y organizativas implantadas, a disposición del RESPONSABLE DEL TRATAMIENTO. No se realizarán transferencias internacionales de datos fuera del Espacio Económico Europeo sin instrucción y autorización previa y por escrito del Responsable, y sin que concurra alguna de las garantías previstas en el Capítulo V del RGPD.

SEXTA.- DURACIÓN.

El presente Contrato entrará en vigor en la fecha de su firma y permanecerá vigente mientras subsista la prestación de los Servicios. Su duración queda vinculada a la del contrato principal de prestación de servicios suscrito entre las Partes y, en su defecto, será de ________.

Una vez finalice la prestación de los Servicios, y conforme a las instrucciones del RESPONSABLE DEL TRATAMIENTO, el ENCARGADO DEL TRATAMIENTO, a elección del Responsable, devolverá o destruirá los datos personales objeto de tratamiento, así como cualquier copia o soporte en su poder. La supresión o devolución deberá realizarse en un plazo máximo de ________ desde la finalización de la prestación de los Servicios.

No obstante, el Encargado podrá conservar los datos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de los Servicios, y únicamente durante el plazo de prescripción de las acciones correspondientes. Transcurrido dicho plazo, procederá a su destrucción definitiva.

Asimismo, el ENCARGADO DEL TRATAMIENTO deberá suprimir o bloquear los datos personales cuando lo solicite un interesado en ejercicio de sus derechos, o cuando el RESPONSABLE DEL TRATAMIENTO lo estime oportuno y así se lo comunique.

SÉPTIMA.- OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO.

El ENCARGADO DEL TRATAMIENTO asume las siguientes obligaciones:

a) Utilizar los datos personales objeto de tratamiento exclusivamente para la prestación de los Servicios, sin destinarlos a finalidad distinta;

b) Tratar los datos personales conforme a las instrucciones documentadas del RESPONSABLE DEL TRATAMIENTO, comunicando inmediatamente cualquier instrucción que considere contraria a la normativa de protección de datos;

c) No comunicar ni ceder los datos personales a terceros, ni siquiera para su conservación, salvo que cuente con autorización expresa del RESPONSABLE DEL TRATAMIENTO o exista obligación legal;

d) Implantar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD y al artículo 28 de la LOPDGDD, garantizando un nivel de seguridad adecuado al riesgo;

e) Garantizar que las personas autorizadas para tratar datos personales se han comprometido, expresamente y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes;

f) Mantener el deber de secreto y confidencialidad respecto de los datos personales a los que acceda en virtud del presente Contrato, obligación que subsistirá aun después de finalizada la relación contractual;

g) Garantizar la formación necesaria en materia de protección de datos de las personas autorizadas para tratar datos personales;

h) Cuando proceda conforme al artículo 30.2 del RGPD y al artículo 31 de la LOPDGDD, llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga:

- El nombre y los datos de contacto del encargado y de cada responsable por cuya cuenta actúe y, en su caso, del representante y del delegado de protección de datos (DPD);

- Las categorías de tratamientos efectuados por cuenta de cada responsable;

- En su caso, las transferencias de datos personales a un tercer país u organización internacional, con identificación de los mismos y, en el supuesto del artículo 49.1, párrafo segundo, del RGPD, la documentación de garantías adecuadas;

- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad del artículo 32.1 del RGPD;

i) Asistir al RESPONSABLE DEL TRATAMIENTO, mediante medidas técnicas y organizativas apropiadas, en la atención de las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas, dando traslado al Responsable de las solicitudes que reciba directamente, sin demora y a más tardar el día laborable siguiente a su recepción;

j) Asistir al RESPONSABLE DEL TRATAMIENTO en el cumplimiento de sus obligaciones de notificación de violaciones de seguridad (artículos 33 y 34 RGPD), de realización de evaluaciones de impacto (artículo 35 RGPD) y de consulta previa (artículo 36 RGPD);

k) Poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, así como permitir y contribuir a la realización de auditorías e inspecciones por parte del Responsable o de otro auditor por él autorizado;

l) Designar, cuando resulte legalmente exigible conforme al artículo 37 del RGPD, un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al RESPONSABLE DEL TRATAMIENTO.

OCTAVA.- OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO.

El RESPONSABLE DEL TRATAMIENTO asume las siguientes obligaciones:

a) Entregar al ENCARGADO DEL TRATAMIENTO, o facilitarle el acceso, a los datos a que se refiere la Cláusula Cuarta y a cualquier otro necesario para la correcta prestación de los Servicios;

b) Velar, con carácter previo y durante todo el tratamiento, por el cumplimiento del RGPD y la LOPDGDD por parte del ENCARGADO DEL TRATAMIENTO;

c) Realizar las consultas previas que correspondan, así como las evaluaciones de impacto relativas a la protección de datos cuando resulten exigibles;

d) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías;

e) Facilitar al ENCARGADO DEL TRATAMIENTO las instrucciones documentadas necesarias para el tratamiento;

f) Garantizar y declarar que los datos de carácter personal recogidos de los afectados y transmitidos al ENCARGADO DEL TRATAMIENTO son adecuados, pertinentes y limitados a lo necesario en relación con los fines legítimos para los que han sido obtenidos, así como que dispone de base de legitimación suficiente para el tratamiento.

NOVENA.- SUBCONTRATACIÓN.

El ENCARGADO DEL TRATAMIENTO no recurrirá a otro encargado (subencargado) sin la autorización previa, específica o general, por escrito del RESPONSABLE DEL TRATAMIENTO. En el caso de autorización general, el Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse a dichos cambios. Únicamente podrán ser objeto de subcontratación los siguientes servicios:

________

Conforme al artículo 28.4 del RGPD, el subencargado quedará sujeto, mediante contrato, a las mismas obligaciones de protección de datos estipuladas en el presente Contrato, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas. En caso de incumplimiento por parte del subencargado, el ENCARGADO DEL TRATAMIENTO inicial seguirá siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO del cumplimiento de las obligaciones propias y de las del subencargado.

DÉCIMA.- NOTIFICACIÓN DE VIOLACIONES DE LA SEGURIDAD.

El ENCARGADO DEL TRATAMIENTO notificará al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida y, en cualquier caso, dentro del plazo máximo de ________ desde que tenga conocimiento de ellas, las violaciones de la seguridad de los datos personales a su cargo, junto con toda la información relevante para su documentación y comunicación, de conformidad con el artículo 33 del RGPD, incluyendo, como mínimo: (i) la descripción de la naturaleza de la violación, incluidas, cuando sea posible, las categorías y el número aproximado de interesados y de registros afectados; (ii) el nombre y los datos de contacto del DPD o punto de contacto; (iii) la descripción de las posibles consecuencias de la violación; y (iv) la descripción de las medidas adoptadas o propuestas para poner remedio a la violación y, en su caso, mitigar sus posibles efectos negativos. Si no fuera posible facilitar la información simultáneamente, se proporcionará de manera gradual y sin dilación indebida. La comunicación se realizará del siguiente modo:

________

El ENCARGADO DEL TRATAMIENTO no notificará la violación a la autoridad de control ni a los interesados, salvo instrucción expresa del RESPONSABLE DEL TRATAMIENTO, a quien corresponde dicha obligación conforme a los artículos 33 y 34 del RGPD.

DECIMOPRIMERA.- MEDIDAS DE SEGURIDAD.

El ENCARGADO DEL TRATAMIENTO asume la obligación de implantar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD y el artículo 28 de la LOPDGDD, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. En todo caso, deberá implantar mecanismos para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

c) Verificar, evaluar y valorar de forma regular la eficacia de las medidas técnicas y organizativas implantadas;

d) Seudonimizar y cifrar los datos personales, cuando proceda.

DECIMOSEGUNDA.- RESPONSABILIDAD.

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris.

DECIMOTERCERA.- CONFIDENCIALIDAD.

Las Partes se comprometen a adoptar todas las medidas necesarias para mantener en secreto y de forma confidencial toda información que les haya sido comunicada como tal por la otra Parte durante la ejecución del Contrato, o que hayan conocido en el curso de su ejecución. Esta obligación no se aplicará a:

a) la información que sea de dominio público;

b) la información de que las Partes dispusieran antes de haberle sido facilitada por la otra Parte; y

c) la información legalmente adquirida por las Partes de fuentes distintas a la otra Parte.

Las Partes se comprometen a utilizar dicha información únicamente para la ejecución del Contrato, así como a no explotarla, por cuenta propia o de un tercero, directa o indirectamente. Esta obligación de confidencialidad subsistirá tras la extinción del Contrato.

DECIMOCUARTA.- EXTINCIÓN DEL CONTRATO.

El presente Contrato podrá extinguirse por las siguientes causas:

a) el incumplimiento total o parcial por la otra Parte de alguna de las condiciones u obligaciones esenciales del presente Contrato;

b) la terminación del plazo acordado o la extinción del contrato principal de prestación de servicios;

c) el mutuo acuerdo de las Partes; y

d) las demás establecidas por la Ley.

El incumplimiento por cualquiera de las Partes de las obligaciones derivadas del presente Contrato facultará a la Parte cumplidora para exigir su cumplimiento o instar la resolución, con resarcimiento de daños y perjuicios, de conformidad con el artículo 1124 del Código Civil.

Extinguida la relación entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO, este último deberá, a elección del Responsable, devolver o destruir los datos personales facilitados, así como cualquier copia o soporte. El Encargado podrá conservar los datos estrictamente necesarios, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el Responsable y únicamente durante el plazo de prescripción de las acciones legales. Transcurrido dicho plazo, destruirá la información que aún conservase o, en su caso, la devolverá al RESPONSABLE DEL TRATAMIENTO cuando se trate de documentos originales.

DECIMOQUINTA.- DOMICILIO PARA NOTIFICACIONES.

A efectos de cualquier notificación derivada del presente Contrato, las Partes señalan como domicilios los indicados en el encabezamiento. Para su validez, las notificaciones deberán practicarse por un medio fehaciente que deje constancia del momento de su envío, dirección de destino y momento de su recepción por la otra Parte. Cualquier cambio de domicilio a efectos de notificaciones deberá comunicarse a la otra Parte, a la mayor brevedad, siguiendo el procedimiento aquí establecido.

DECIMOSEXTA.- LEGISLACIÓN APLICABLE Y JURISDICCIÓN.

Las Partes reconocen quedar obligadas por el presente Contrato y sus anexos, si los hubiere, y se comprometen a su cumplimiento de buena fe.

El presente Contrato se rige por la legislación española y, en particular, por el Reglamento (UE) 2016/679, General de Protección de Datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como por el Código Civil en lo no previsto expresamente.

Las referencias a cualquier norma legal o reglamentaria, o disposición de las mismas, se entenderán realizadas a las normas o preceptos que puedan sustituirlas en el futuro.

Para la resolución de cualquier controversia, conflicto o reclamación relativa o derivada del presente Contrato, las Partes, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, se someten a los Juzgados y Tribunales de ________.

Y en prueba de conformidad y aceptación de cuanto antecede, ambas Partes firman el presente Contrato, a un solo efecto, en todas sus hojas, en dos ejemplares y a un solo efecto, en el lugar y fecha indicados en el encabezamiento.

EL RESPONSABLE DEL TRATAMIENTO:

Fdo. Don/Doña ________

EL ENCARGADO DEL TRATAMIENTO:

Fdo. Don/Doña ________