Acerca de operadores lógicos
Última revisión
22/09/2023
Recomendación de la Junta Consultiva de Contratación Administrativa de Canarias 2/2019 de 2019
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 33 min
Órgano: Junta Consultiva de Contratación Administrativa de Canarias
Fecha: 01/01/2019
Num. Resolución: 2/2019
Cuestión
Materia: Otras cuestiones de carácter general.Recomendación 2/2019, sobre la adaptación de los modelos de pliegos de los contratos administrativos en los diferenctes procedimientos en relación con el cumplimiento de la normativa en materia de protección de datos y al Real Decreto-ley 14/2019, de 31 de Octubre
Contestacion
RECOMENDACIÓN 2 / 2019 sobre la adaptación de los modelos
de pliego de los contratos administrativos en los diferentes
procedimientos en relación con el cumplimiento de la normativa
en materia de protección de datos y al Real Decreto-ley 14/2019,
de 31 de Octubre [grupo 18 y 32]
La Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público,
por la que se transponen al ordenamiento jurídico español las
Directivas del Parlamento Europeo y del Consejo 2014/23/UE y
2014/24/UE, de 26 de febrero de 2014, establece en su Disposición
Adicional Vigésima Quinta relativa a la protección de datos de
carácter personal :?Los contratos regulados en la presente ley que
impliquen el tratamiento de datos de carácter personal deberán
respetar en su integridad la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal y su
normativa de desarrollo.?
No obstante, esta alusión debe entenderse referida al Reglamento
(UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril
de 2016 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales (RGPD) directamente
aplicable desde el 25 de mayo del 2018 y la Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y Garantía de
los Derechos Digitales (LOPGDD), que entró en vigor el pasado 7 de
diciembre del 2018
Los reglamentos europeos tienen un alcance general y son
obligatorios en todos sus términos y directamente aplicables a los
Estados Miembros, y la Ley Orgánica viene a completar lo
establecido en el mismo, por lo que esta materia de protección de
datos se regula por ambas disposiciones
La citada disposición adicional vigésima quinta continúa señalando
que para el caso de que la contratación implique el acceso del
contratista a datos de carácter personal de cuyo tratamiento sea
responsable la entidad contratante, aquel (el contratista) tendrá la
consideración de encargado del tratamiento y que en este supuesto,
el acceso de esos datos no se considerará comunicación de datos,
cuando se cumpla lo previsto en el articulo 12.2 y 3 de la Ley
Orgánica 15/1999, de 13 de diciembre (estos preceptos deben
entenderse sustituidos por la regulación actualmente vigente, es
decir, el articulo 28 del RGPD) y que las previsiones de este
precepto deberán constar por escrito
El articulo 28.1 del RGPD establece:?1. Cuando se vaya a realizar
un tratamiento por cuenta de un responsable del tratamiento, este
elegirá únicamente un encargado que ofrezca garantías
suficientes para aplicar medidas técnicas y organizativas
apropiados, de manera que el tratamiento sea conforme con los
requisitos del presente Reglamento y garantice la protección de los
derechos del interesado?. Por lo que el primer deber de los
responsables de tratamiento, es decir, de la entidad contratante, es
seleccionar un encargado de tratamiento (el contratista) con
garantías suficientes para aplicar las medidas que garanticen la
protección de derechos .
El RGPD en su articulo 28.3 también establece que la vinculación
entre el responsable del tratamiento de datos personales (la entidad
contratante ) y el operador económico adjudicatario (el encargado de
ese tratamiento) se debe realizar por un contrato u otro vínculo
jurídico que vincule al encargado respecto del responsable y
establezca el objeto, la duración, la naturaleza y la finalidad del
tratamiento, el tipo de datos personales y categorías de interesados,
y las obligaciones y derechos del responsable.
En particular, el contrato o acto de encargo de tratamiento deberá
contener, en virtud de lo establecido en el capítulo IV del RGPD y el
título V de la LOPGDD:
- Las instrucciones del responsable del tratamiento.
- El deber de confidencialidad.
- Las medidas de seguridad.
- El régimen de la subcontratación, el recurrir a otro encargado de
tratamiento .
- La forma en que el encargado asistirá al responsable en el
cumplimiento de responder el ejercicio de derechos de los
interesados.
- La colaboración en el cumplimiento de las obligaciones del
responsable en materia de seguridad de los datos personales.
- El destino de los datos al finalizar la prestación.
El Real Decreto-Ley 14/2019, de 31 de octubre, por el que se
adoptan medidas urgentes por razones de seguridad pública en
materia de administración digital, contratación del sector público y
telecomunicaciones, regula varias medidas en materia de
contratación pública dirigidas a reforzar el cumplimiento de la
normativa sobre protección de datos personales y la protección de la
seguridad pública en este ámbito. Modifica la ley de contratos con la
finalidad de introducir medidas que garanticen en todas las fases de
la contratación el respeto por parte de contratistas y subcontratistas
de la legislación de la Unión Europea en materia de protección de
datos estas.
Estas modificaciones introducidas en la ley de contratos afectan:
- Por un lado a todos los tipos de contratos y procedimientos del
sector publico
-y por otro modificaciones que únicamente afectan a las
contrataciones que conlleven el tratamiento de datos personales por
el contratista por cuenta de la Administración contratante.
Por lo expuesto se hace preciso:
1.- Adaptar los modelos de pliegos de los diferentes contratos en los
diferentes procedimientos con el fin de que se recoja expresamente
la normativa aplicable a la protección de datos.
2.- Adaptar los pliegos respecto a los contratos cuya ejecución lleva
consigo el acceso de datos personales de los que son responsables
las entidades contratantes, dado que en los actuales únicamente se
hace una referencia genérica al cumplimiento de la disposición
adicional vigésimo quinta de la LCSP (clausula 24 en el contrato de
servicios)
La adaptación de estas nuevas cláusulas se van establecer como
ejemplo en el modelo de contratos de servicios en el
procedimiento abierto ya que en este tipo de contratos es en los que
normalmente la ejecución puede implicar el acceso a datos
personales que deben ser tratados y por tanto deben tomarse las
medidas legales para su protección, debiendo asumir el contratista
unas obligaciones específicas que deben plasmarse en los pliegos
administrativos de los expedientes de contratación tramitados por
las unidades de gestión, sin perjuicio de que en cualquier otro tipo
de contrato (obras o suministros), puedan llevar consigo el
acceso por parte del contratista de datos personales, y en los que
deberán incluirse estas nuevas cláusulas .
Las cláusulas que se recomienda incorporar en los pliegos de
clausulas administrativas particulares, previo informe de la
Viceconsejería de servicios jurídicos, son las siguientes :
CONTRATOS DE SERVICIOS
PROCEDIMIENTO ABIERTO
3.-.- RÉGIMEN JURÍDICO Y JURISDICCIÓN
Nueva redacción
La contratación a realizar se califica como contrato de servicios de
carácter administrativo, de conformidad con lo establecido en los
artículos 17 y 25 de la LCSP, quedando sometida a dicha ley, a las
normas reglamentarias que la desarrollen, y a las cláusulas
contenidas en el presente pliego de cláusulas administrativas
particulares y en el de prescripciones técnicas, y en concreto, al
sometimiento a la normativa nacional y de la Unión Europea en
materia de protección de datos
Asimismo, serán de aplicación las demás disposiciones estatales
que regulan la contratación del sector público, y las dictadas por la
Comunidad Autónoma de Canarias, en el marco de sus respectivas
competencias.
4.- APTITUD PARA CONTRATAR (arts. 65 y ss. LCSP )
-----------------------------------------
4.3.- Solvencia
---------------------------------
-------------------
4.3.2. Solvencia técnica o profesional
[ SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE DATOS
PERSONALES se añadirá la siguiente cláusula :
Cuando se vaya a realizar un tratamiento por cuenta de un
responsable del tratamiento, el encargado debe tener capacidad
suficiente para aplicar medidas técnicas y organizativas apropiadas
para cumplir la normativa de protección de datos por lo que el
licitador debe estar en disposición de cumplir las medidas de
seguridad que se impongan en el encargo del tratamiento
Para acreditarlo deberá aportar :
En función de los datos :
en sistemas de categoría básica ---declaración de conformidad con
el Esquema nacional de seguridad (ENS)
en sistemas de categoría media o alta ? certificación de
conformidad con el ENS
(A efectos de determinar la categoría de los sistemas, en cada caso
concreto, deberá consultarse con los servicios de informática)
o bien algunos o todos los medios siguientes :
a) designación, nombramiento o contrato de delegado de protección
de datos (en los supuestos en que el licitador se encuentre en
alguno de los supuestos contemplados en el articulo 37.1 del RGPD
o art 34 LOPD)
b) copia del Registro de Actividades de tratamiento (RAT) en cuanto
a aquellas actividades afectas por el contrato
c) protocolos de ejercicios de derechos
d)protocolos de actuación ante una violación de seguridad
15.- CONTENIDO DE LAS PROPOSICIONES (art. 140 LCSP)
??????????????????.
15.1.- ARCHIVO ELECTRÓNICO [si la licitación no es
electrónica SOBRE ] Nº 1
TÍTULO: Documentación general para la licitación del contrato de
[?]
??????????????????????????????
??????????????????????????????
???????????????????????????
15.1.11.- [SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE
DATOS PERSONALES añadir la siguiente cláusula:
15.1.11.- Los licitadores deberán indicar, si tienen previsto
subcontratar los servidores o los servicios asociados a los mismos,
el nombre o el perfil empresarial de los subcontratistas a los que
vaya a encomendar su realización del tratamiento de datos, definido
por referencia a las condiciones de solvencia profesional o técnica.
Esta obligación tiene carácter esencial a los efectos de lo previsto en
el articulo 211.1.f) LCSP
22.- FORMALIZACIÓN DEL CONTRATO (arts. 36 ,153 y 154 LCSP)
22.1.-
??????????????????????????????
????????????????.
[SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE DATOS
PERSONALES añadir el siguiente párrafo :
Dentro del mismo plazo y con anterioridad a la firma del contrato, la
empresa adjudicataria deberá obligatoriamente presentar una
declaración en la que se ponga de manifiesto dónde van a estar
ubicados a los servidores y desde dónde se van a prestar los
servicios asociados a los mismos. Esta obligación tiene carácter
esencial a los efectos de lo previsto en el articulo 211.1.f) LCSP
24.- OBLIGACIONES DE LA CONTRATISTA (arts. 133.2, 196, 201 y
202 y 211.1 LCSP)
??????????????????????????????
??????????????????????????????
?????????????????????????????.
Nueva redacción
24.1.- La persona contratista está obligada a cumplir lo establecido en
el presente pliego y en el de prescripciones técnicas, así como las
instrucciones que, en su caso, le diere el responsable del contrato
designado por el órgano de contratación. Asimismo, la persona
contratista tiene la obligación de respetar la normativa vigente en
materia de protección de datos
??????????????????????????????
??????.
24.6.- Asimismo, tiene las siguientes obligaciones, que tienen el
carácter de obligaciones contractuales esenciales:
24.6.4 .- [SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE
DATOS PERSONALES añadir la siguiente cláusula:
la obligación del contratista de someterse a la normativa nacional y
de la Unión Europea en materia de protección de datos, así como
las obligaciones establecidas en este pliego relativas a protección de
datos y tratamiento de datos personales que se califican como
esenciales a los efectos de lo previsto en la letra f) del apartado 1
del articulo 211, en concreto:
a) La finalidad para la cual se cederán dichos datos.
b) La obligación del futuro contratista de someterse en todo caso a la
normativa nacional y de la Unión Europea en materia de protección
de datos, sin perjuicio de lo establecido en el último párrafo del
apartado 1 del artículo 202.
c) La obligación de la empresa adjudicataria de presentar antes de la
formalización del contrato una declaración en la que ponga de
manifiesto dónde van a estar ubicados los servidores y desde dónde
se van a prestar los servicios asociados a los mismos
d) La obligación de comunicar cualquier cambio que se produzca, a
lo largo de la vida del contrato, de la información facilitada en la
declaración a que se refiere la letra c) anterior.
e) La obligación de los licitadores de indicar en su oferta, si tienen
previsto subcontratar los servidores o los servicios asociados a los
mismos, el nombre o el perfil empresarial, definido por referencia a
las condiciones de solvencia profesional o técnica, de los
subcontratistas a los que se vaya a encomendar su realización.
[SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE DATOS
PERSONALES añadir la siguiente cláusula:
24.-BIS PROTECCIÓN DE DATOS Y TRATAMIENTO DE DATOS
PERSONALES
todas las obligaciones contenidas en esta cláusula a tienen carácter
esencial a los efectos de lo previsto en el artículo 211.1.f) LCSP.
1.- El contratista se compromete a mantener en reserva y secreto y no
revelar de ninguna forma, a ninguna persona física o jurídica que no
sea parte del contrato, los datos e informaciones facilitados por ?.
(incluir el nombre del responsable del tratamiento) y que sean
concernientes a la prestación del contrato
2.- Respecto a los datos personales a los que tenga acceso en virtud
del contrato, el contratista queda sujeto al cumplimiento de las
siguientes obligaciones :
A) De conformidad con la Disposición adicional 25ª de la Ley
9/2017, de 8 de noviembre, de Contratos del Sector Público, por la
que se transponen al ordenamiento jurídico español las Directivas del
Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26
de febrero de 2014, los contratos que impliquen el tratamiento de
datos de carácter personal deberán respetar en su integridad el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de
27 de abril de 2016 relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales (RGPD), y la Ley
Orgánica 3/2018, de 5 de Diciembre, de protección de datos y
garantía de los derechos digitales.
Dado que la contratación implica el tratamiento del contratista a datos
de carácter personal de cuyo tratamiento es responsable la entidad
contratante, aquél tendrá la consideración de encargado del
tratamiento.
B)Tratamiento de Datos de carácter personal
Para el cumplimiento del objeto de este pliego, el adjudicatario deberá
tratar los datos personales de los cuales ?? (incluir el nombre del
responsable del tratamiento) es Responsable del Tratamiento como
se especifica en el Anexo (?) a este pliego, denominado ?Tratamiento
de Datos Personales?.
Ello conlleva que el adjudicatario actúe en calidad de encargado del
tratamiento y, por tanto, tiene el deber de cumplir con la normativa
vigente en cada momento, tratando y protegiendo debidamente los
Datos Personales.
Por tanto, sobre?. (incluir el nombre del responsable del tratamiento)
recae la responsabilidad del Responsable del Tratamiento y sobre el
adjudicatario la de Encargado de Tratamiento. Si el adjudicatario
destinase los datos a otra finalidad, los comunicara o los utilizara
incumpliendo las estipulaciones del contrato y/o la normativa vigente,
será considerado también como Responsable del Tratamiento,
respondiendo de las infracciones en que hubiera incurrido
personalmente.
El Anexo ?Tratamiento de Datos Personales? describe en detalle los
Datos Personales a proteger, así como el tratamiento a realizar y las
medidas a implementar por el adjudicatario.
En caso de que como consecuencia de la ejecución del contrato
resultara necesario en algún momento la modificación de lo estipulado
en el Anexo ?Tratamiento de Datos Personales?, el adjudicatario lo
requerirá razonadamente y señalará los cambios que solicita. En caso
de que ??. (incluir el nombre del responsable del tratamiento)
estuviese de acuerdo con lo solicitado emitiría un Anexo ?Tratamiento
de Datos Personales? actualizado, de modo que el mismo siempre
recoja fielmente el detalle del tratamiento.
Deberá también- el adjudicatario- comunicar cualquier cambio que se
produzca a lo largo de la vida del contrato, de la información facilitada
en la declaración presentada antes de la formalización del contrato
relativa a la ubicación de los servidores y desde donde se van a
prestar los servicios asociados a los mismos. Esta obligación tiene
carácter esencial a los efectos de lo previsto en el articulo 211.1.f)
LCSP.
C) Estipulaciones como encargado de tratamiento
El contratista, de conformidad con el articulo 28 del RGPD deben
asumir y garantizar el cumplimiento de las siguientes obligaciones y
que se cumplimentan con lo detallado en el Anexo B ?Tratamiento de
Datos Personales:
1) Únicamente tratará los Datos Personales conforme a las
instrucciones documentadas en el presente Pliego o demás
documentos contractuales aplicables a la ejecución del contrato y
aquellas que reciba del responsable del tratamiento por escrito en
cada momento.
No obstante, el adjudicatario informará inmediatamente al
responsable del tratamiento, cuando, en su opinión, una instrucción
sea contraria a la normativa de protección de Datos Personales
aplicable en cada momento.
2) utilizar y aplicar los datos personales única y exclusivamente
para la realización del objeto del contrato.
3) Tratar los Datos Personales de conformidad con los criterios
de seguridad y el contenido previsto en el artículo 32 del RGPD, así
como observar y adoptar las medidas técnicas y organizativas de
seguridad necesarias o convenientes para asegurar la
confidencialidad, secreto e integridad de los Datos Personales a los
que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las
medidas de protección del nivel de riesgo y seguridad detalladas en el
Anexo ?Tratamiento de Datos Personales?.
4) No facilitar ningún dato personal a terceros y mantener la más
absoluta confidencialidad. El contratista se compromete a no revelar,
transferir, ceder o comunicar dichos datos o los ficheros creados con
ellos, ya sea verbalmente o por escrito, por medios electrónicos, papel
o mediante acceso informático, ni siquiera para su visualización, a
ningún tercero.
Esta obligación se extiende a toda persona que pudiera intervenir
en cualquier fase del tratamiento por cuenta del adjudicatario, siendo
deber del adjudicatario instruir a las personas que de él dependan, de
este deber de secreto, y del mantenimiento de dicho deber aún
después de la terminación de la prestación del Servicio o de su
desvinculación por lo que deberá garantizar la formación necesaria en
materia de protección de Datos Personales de las personas
autorizadas a su tratamiento.
5) Entregar al responsable del contrato antes del inicio de los
trabajos, una relación de todo el personal que tenga acceso a los
datos de carácter personal con funciones y lugar donde van a
desarrollar el trabajo. Si durante la ejecución del contrato fuera
necesario incorporar a otras personas entregará una nueva relación
en un plazo máximo de una semana desde que sucediera este hecho.
Tanto la contratista como todo el personal que figure en estas
relaciones deberá comprometerse formalmente por escrito a
mantener el secreto profesional con respecto a los datos tratados y a
cumplir con las medidas de seguridad correspondientes , de las que
les debe informar convenientemente.
6) En caso de que de acuerdo con el RGPD sea necesario
designar un delegado de protección de datos, o cuando la
designación sea voluntaria, se comunicará al responsable del
tratamiento así como la identidad y datos de contacto de la(s)
persona(s) física(s) designada(s) por el adjudicatario como sus
representante(s) a efectos de protección de los Datos Personales
(representantes del Encargado de Tratamiento), responsable(s) del
cumplimiento de la regulación del tratamiento de Datos Personales,
en las vertientes legales/formales y en las de seguridad.
7) Un vez finalizada la prestación contractual objeto de este
pliego, se compromete, según corresponda y se instruya en el anexo
?Tratamiento de Datos Personales? a devolver o destruir:
- los datos personales a los que haya tenido acceso
-los datos personales generados por el adjudicatario por causa del
tratamiento
-y los soportes y documentos en que cualquiera de estos datos
consten , sin conservar copia alguna ; salvo que se permita o requiera
por ley o por norma de derecho comunitario su conservación , en cuyo
caso no procederá la destrucción.
El encargado del tratamiento podrá, no obstante, conservar los
datos durante el tiempo que puedan derivarse responsabilidades de
su relación con el responsable del tratamiento. En este último caso,
los datos personales se conservarán bloqueados y por el tiempo
mínimo , destruyéndose de forma segura y definitiva al final de dicho
plazo.
8) Según corresponda y se indique en el anexo de ?Tratamiento de
Datos Personales?el tratamiento de los datos se llevará a cabo en los
sistemas /dispositivos de tratamiento , manuales y automatizados y
en las ubicaciones que en el citado anexo se especifican,
equipamiento que podrá estar bajo el control de ???.(incluir el
nombre del responsable del tratamiento ) o bajo el control directo o
indirecto del adjudicatario u otros que hayan sido expresamente
autorizados por escrito por ?.(incluir el nombre del responsable del
tratamiento ) según se establezca en dicho anexo en su caso y
únicamente por los usuarios o perfiles de usuarios asignados a la
ejecución del objeto de este pliego
9) Salvo que se indique otra cosa en el anexo ?Tratamiento de Datos
Personales? en el cual no puede establecerse excepción alguna de
que los tratamientos de datos personales de los sistemas de
información y comunicaciones para la recogida, almacenamiento,
procesamiento y gestión del censo electoral, los padrones municipales
de habitantes y otros registros de población, datos fiscales
relacionados con tributos propios o cedidos y datos de los usuarios
del sistema nacional de salud deberán ubicarse y prestarse dentro del
territorio de la Unión Europea,o se instruya expresamente por ?.
(incluir el nombre del responsable del tratamiento ) que el
adjudicatario se obliga a tratar los datos personales dentro del
territorio de la Unión europea, no tratándolos fuera de este espacio ni
directamente ni a través de cualesquiera subcontratistas autorizados
conforme a lo establecido en este pliego o demás documentos
contractuales , salvo que esté obligado a ello en virtud del derecho de
la unión o del estado miembro que le resulte de aplicación.
En el caso de que por causa de derecho nacional o de la Unión
europea el adjudicatario se vea obligado a llevar alguna transferencia
de datos , el adjudicatario informará por escrito a ?.(incluir el nombre
del responsable del tratamiento ) de esa exigencia legal, con
antelación suficiente a efectuar el tratamiento, y garantizará en
cumplimiento de cualesquiera requisitos legales que sean aplicables a
?.(incluir el nombre del responsable del tratamiento ) salvo que el
derecho aplicable lo prohíba por razones importantes de interés
público
10) De conformidad con el artículo 33 RGPD, el contratista deberá
comunicar a AEPD, de forma inmediata y a más tardar en el plazo de
72 horas, cualquier violación de la seguridad de los datos personales
a su cargo de la que tenga conocimiento, con toda la información
relevante para la documentación y comunicación de la incidencia o
cualquier fallo en su sistema de tratamiento y gestión de la
información que haya tenido o pueda tener que ponga en peligro la
seguridad de los Datos Personales, su integridad o su disponibilidad,
así como cualquier posible vulneración de la confidencialidad como
consecuencia de la puesta en conocimiento de terceros de los datos e
informaciones obtenidos durante la ejecución del contrato.
Comunicará con diligencia información detallada al respecto, incluso
concretando qué interesados sufrieron una pérdida de
confidencialidad.
11) Cuando una persona ejerza un derecho (de acceso, rectificación,
supresión y oposición, limitación del tratamiento, portabilidad de datos
y a no ser objeto de decisiones individualizadas automatizadas, u
otros reconocidos por la normativa aplicable (conjuntamente, los
?Derechos?), ante el Encargado del Tratamiento, éste debe
comunicarlo con la mayor prontitud. La comunicación debe hacerse
de forma inmediata y en ningún caso más allá del día laborable
siguiente al de la recepción del ejercicio de derecho, juntamente, en
su caso, con la documentación y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder, e
incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá al responsable del tratamiento siempre que sea posible, para
que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
12) Colaborar con el responsable del tratamiento en el cumplimiento
de sus obligaciones en materia de medidas de seguridad,
comunicación y/o notificación de brechas (logradas e intentadas) de
medidas de seguridad a las autoridades competentes o los
interesados, y colaborar en la realización de evaluaciones de impacto
relativas a la protección de datos personales y consultas previas al
respecto a las autoridades competentes; teniendo en cuenta la
naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición del responsable del tratamiento toda
la información necesaria para demostrar el cumplimiento de las
obligaciones previstas en este Pliego y demás documentos y
colaborará en la realización de auditoríase inspecciones llevadas a
cabo , en su caso , por la AEPD.
13) En los casos en que la normativa lo exija , artículo 30.5 RGPD, el
adjudicatario deberá llevar , por escrito , incluso en formato electrónico
y de conformidad con lo previsto en el articulo 30.2 RGPD un registro
de todas las categorías de actividades de tratamiento efectuadas por
cuenta de ?.(incluir el nombre del responsable del tratamiento ) que
contenga las circunstancias señaladas en el precepto citado.
14) Deberá disponer de evidencias que demuestren el cumplimiento
de la normativa de protección de datos personales y del deber de
responsabilidad activa , que habrá de poner a disposicion de .(incluir
el nombre del responsable del tratamiento ) a su requerimiento. Así
mismo , durante la vigencia del contrato pondrá a disposición de.
(incluir el nombre del responsable del tratamiento ), toda información ,
certificaciones y auditorías realizadas en cada momento
15) El encargado del tratamiento, en e lmomento de la recogida de los
datos, debe facilitar la información realtiva a los tratamientos de datos
que se van a realizar . La redacción y el formato en que se facilitará
la información se debe consensuar con el responsable antes del inicio
de la recogida de los datos .
16) Las obligaciones en materia de protección de datos establecidas
en este pliego, así como el Anexo correspondiente relativo al
Tratamiento de Datos Personales constituyen el contrato de encargo
de tratamiento entre el responsable del tratamiento (incluir el nombre
del responsable del tratamiento) y el adjudicatario..
Las obligaciones y prestaciones que se contienen no son retribuibles
de forma distinta de lo previsto en el presente pliego y demás
documentos contractuales y tendrán la misma duración que la
prestación del contrato objeto de este pliego, prorrogándose en su
caso por períodos iguales a éste. No obstante, a la finalización del
contrato, el deber de secreto continuará vigente, sin límite de tiempo,
para todas las personas involucradas en la ejecución del contrato.
17) Para el cumplimiento del objeto de este pliego el adjudicatario no
precisa que acceda a ningún otro dato personal responsabilidad
????..(incluir el nombre del responsable del tratamiento ) que no
sean los especificados en el anexo ?Tratamiento de datos personales?
y por tanto no está autorizado en caso alguno al acceso o tratamiento
de otro dato. Si se produjera una incidencia durante la ejecución del
contrato que conllevara un acceso accidental o incidental a datos
presonales responsabilidad de ?...(incluir el nombre del responsable
del tratamiento ) no contemplados en el anexo ?Tratamiento de datos
personales?, el adjudicatario deberá ponerlo en conocimiento del ...
(incluir el nombre del responsable del tratamiento ), en concreto de su
delegado de protección de datos, con la mayor diligencia y a mas
tardar en el plazo de 72 horas
D) Encargos de tratamiento asociados a subcontrataciones
Cuando el contratista principal concierte con terceros la realización
parcial de la prestación objeto del contrato y el subcontratista deba
acceder a datos personales, el adjudicatario lo pondrá en
conocimiento previo del responsable del tratamiento, identificando
qué tratamiento de datos personales conlleva, para que el
responsable del tratamiento) autorice la subcontratación.
Es requisito imprescindible para la autorización:
-Que el tratamiento de datos personales por parte del
subcontratista se ajuste a la legalidad vigente, al pliego y a las
instrucciones del responsable del tratamiento
-Que el adjudicatario y la empresa subcontratista formalicen un
contrato u otro acto jurídico de encargo de tratamiento de datos en
términos previstos en el presente pliego, el cual será puesto a
disposición del responsable del tratamiento.
El adjudicatario informará al responsable del tratamiento de cualquier
cambio en relación a la incorporación o sustitución de otros
subcontratistas, con el fin de otorgar el responsable del tratamiento la
autorización correspondiente.
El subcontratista, que también tendrá la condición de encargado del
tratamiento, está obligado igualmente a cumplir las obligaciones
establecidas en este documento para el encargado del tratamiento y
las instrucciones que dicte el responsable del tratamiento .
Corresponde al encargado del tratamiento inicial, regular la nueva
relación de forma que el nuevo encargado del tratamiento (o
subencargado) quede sujeto a las mismas condiciones (instrucciones,
obligaciones, medidas de seguridad y resto de condiciones
establecidas) y con los mismos requisitos formales que él, en lo
referente al adecuado tratamiento de los datos personales y a la
garantía de los derechos de las personas afectadas. En el caso de
incumplimiento por parte del subencargado, el encargado del
tratamiento inicial seguirá siendo plenamente responsable ante el
responsable del tratamiento en lo referente al cumplimiento de las
obligaciones.
ANEXO
?TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
(Este anexo se completa con la información recogida en el
correspondiente Registro de Actividades de Tratamiento publicado en
la Página Web de la Dirección General de Modernización.
En el supuesto de un tratamiento de datos nuevo o no registrado
deberá procederse previamente a la aprobación del Registro
correspondiente por Resolución del Responsable del tratamiento)
Descripción general del tratamiento de datos personales a realizar.
El tratamiento consistirá en: (descripción detallada del servicio y del
tratamiento que previamente debe estar registrado en el Registro de
Actividades de Tratamiento de datos personales).
Especificar de acuerdo con el artículo 28.3 RGPD naturaleza,
finalidad, objeto del tratamiento.
El personal adscrito por la organización adjudicataria para
proporcionar los servicios establecidos en el Pliego que puede tratar
datos personales: Los Datos Personales se tratarán únicamente por
el personal adscrito y al único fin de efectuar el alcance contratado.
En caso de que como consecuencia de la ejecución del contrato
resultara necesario en algún momento la modificación de lo
estipulado en este Anexo, el adjudicatario lo requerirá
razonadamente y señalará los cambios que solicita. En caso de que
el responsable del tratamiento estuviese de acuerdo con lo
solicitado, por el responsable del tratamiento se emitirá un nuevo
Anexo actualizado, de modo que el mismo siempre recoja fielmente
el detalle del tratamiento.
Colectivos de interesados y datos tratados:
Los colectivos de interesados y datos personales tratados a las que
puede tener acceso el adjudicatario son:
Tratamientos y
principales
colectivos de
interesados
Datos Personales del tratamiento a los que se
puede acceder
Tratamiento
1:Explicitar
A modo de ejemplo:
D.N.I./N.I.F.
NOMBRE Y APELLIDOS
DIRECCION
TELEFONO
FIRMA
NACIONALIDAD,
FECHA NACIMIENTO,
CORREO ELECTRONICO
CARACTERISTICAS PERSONALES
ECONOMICOS, FINANCIEROS Y DE
SEGUROS
XXX
Tratamiento 2:
Explicitar
D.N.I./N.I.F.
NOMBRE Y APELLIDOS
DIRECCION
TELEFONO
FIRMA
NACIONALIDAD,
FECHA NACIMIENTO,
CORREO ELEC-TRONICO
CARACTERISTICAS PERSONALES
ECONOMICOS, FINANCIEROS Y DE
SEGUROS
XXX
Elementos del tratamiento
El tratamiento de datos personales comprenderá (márquese lo que
proceda):
Recogida (captura de datos)
Registro (grabación)
Estructuración
Modificación
Conservación (almacenamiento)
Extracción (retrieval)
Consulta
Cesión
Interconexión (cruce)
Cotejo
Supresión
Destrucción de copias temporales
Conservación (en sus sistemas de información)
Otros:________
Duplicado
Copia (copias temporales)
Copia de seguridad
Recuperación
Disposición de datos al terminar el servicio . Una vez finalice el
encargo, es decir, el contratista o subcontratista deberá , optar por
una o dos de estas opciones :
a) Devolver al responsable del tratamiento los datos de carácter
personal y, si procede, los soportes donde consten, una vez
cumplida la prestación. La devolución debe comportar el
borrado total de los datos existentes en los equipos
informáticos utilizados por el encargado. No obstante, el
encargado puede conservar una copia, con los datos
debidamente bloqueados, mientras puedan derivarse
responsabilidades de la ejecución de la prestación.
b) Devolver al encargado que designe por escrito el responsable
del tratamiento, los datos de carácter personal y, si procede,
los soportes donde consten, una vez cumplida prestación. La
devolución debe comportar el borrado total de los datos
existentes en los equipos informáticos utilizados por el
encargado. No obstante, el encargado puede conservar una
copia, con los datos debidamente bloqueados, mientras
puedan derivarse responsabilidades de la ejecución de la
prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez
destruidos, el encargado debe certificar su destrucción por
escrito y entregar el certificado al responsable del tratamiento.
No obstante, el encargado puede conservar una copia, con los
datos debidamente bloqueados, mientras puedan derivarse
responsabilidades de la ejecución de la prestación.
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un
empresario ordenado debe tomar para evitar que dichos datos
pierdan su razonable confidencialidad, integridad y disponibilidad.
De acuerdo con la evaluación de riesgos realizada, se deben
implantar, al menos, las medidas de seguridad siguientes:
- (xxx)
- (xxx)
[- ejemplos , que deben ser adaptados en cada caso:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad,
disponibilidad y resiliencia permanentes de los sistemas y servicios
de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos
personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la
eficacia de las medidas técnicas y organizativas para garantizar la
seguridad del tratamiento.
- las medidas contenidas en el Anexo II del Real Decreto 3/2010, de
8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica, correspondientes al
nivel de medidas de seguridad que resulte de la evaluación de
riesgos realizada. ]
El adjudicatario no podrá no implementar o suprimir dichas medidas
mediante el empleo de un análisis de riesgo o evaluación de
impacto salvo aprobación expresa del Responsable del Tratamiento.
A estos efectos, el personal del adjudicatario debe seguir las
medidas de seguridad establecidas por ( incluir el nombre del
Responsable del Tratamiento) no pudiendo efectuar tratamientos
distintos de los definidos por ( incluir el nombre del responsable del
tratamiento).
25.- EJECUCIÓN DEL CONTRATO
25?..- SI LA EJECUCIÓN DEL CONTRATO IMPLICA LA
CESIÓN DE DATOS DE CARÁCTER PERSONAL AL
CONTRATISTA]
En la ejecución del presente contrato el contratista queda obligado
a someterse a la normativa nacional y de la Unión Europea en materia
de protección de datos. Esta obligación tiene la consideración de
condición especial en relación con la ejecución del contrato, de
conformidad con lo dispuesto en el artículo 202 LCSP, con el carácter
de obligación contractual esencial, a los efectos establecidos en el
artículo 211.1.f) LCSP.?.
28.-- INCUMPLIMIENTOS DEL CONTRATO
SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE DATOS
DE CARÁCTER PERSONAL ]
28.3.--incumplimiento de las obligaciones del tratamiento de datos
personales
Cuando la contratista, por causas a ella imputables, hubiera
incumplido total o parcialmente la obligaciones definidas en el
contrato relativas a la protección de datos , el órgano de contratación
podrá optar, indistintamente, por su resolución, o por imponer las
siguientes penalidades:
??????????????????...
35.- RESOLUCIÓN Y EXTINCIÓN DEL CONTRATO
[SI LA CONTRATACIÓN IMPLICA TRATAMIENTO DE DATOS DE
CARÁCTER PERSONAL ] añadir :
También será causa de resolución del contrato:
-El incumplimiento de las obligaciones realtivas a ltratamiento de
datos personales ..
ANEXO II
MODELO DE CONTRATO ADMINISTRATIVO DE SERVICIOS
CLAUSULAS DEL CONTRATO
Se da nueva redacción a la cláusula cuarta
La contratista presta su conformidad al pliego de cláusulas
administrativas particulares que rige el contrato, que se anexa como
parte integrante del mismo [y a las prescripciones técnicas que
igualmente se anexan], y ambas partes se someten, para cuanto no
se encuentre expresamente previsto en el presente contrato, a la Ley
de Contratos del Sector Público, al Reglamento General de la Ley de
Contratos de las Administraciones Públicas, y a las demás
disposiciones reglamentarias de desarrollo, a las dictadas por la
Comunidad Autónoma de Canarias en el marco de sus respectivas
competencias, y supletoriamente, a la Ley de Procedimiento
Administrativo Común de las Administraciones Públicas. Asimismo,
ambas partes se someten a la normativa nacional y de la Unión
Europea en materia de protección de datos.