Actividad financiada con cargo a los fondos recibidos por el Ministerio de Igualdad, Secretaría de Estado de Igualdad y para la erradicación de la violencia contra las mujeres, en el marco del Plan de Corresponsables.

AlcaláCuida

Protección de Datos

1. REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT).

El RGPD y la LOPDGDD establecen que los responsables y los encargados de los tratamientos de datos, deben llevar y mantener un registro de las actividades de llevadas a cabo bajo su responsabilidad.

El Ayuntamiento de Alcalá de Henares es responsable del tratamiento de datos personales objeto de este contrato conforme a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD)Que para la prestación del servicio, al encargado le resultará necesario el acceso y tratamiento de los datos personales por cuenta del responsable. Se habilita a la empresa SARARTE S.L, como encargada del tratamiento de datos.

 Que de conformidad con lo dispuesto en el artículo 28 del RGPD y del artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LPDPGDD), a través de los cuales se definen las obligaciones y responsabilidades que asume el encargado en el tratamiento de los datos de carácter personal.

Obligaciones del encargado del tratamiento.

El encargado del tratamiento y todo su personal se obliga a:

a. Sometimiento de encargado de tratamiento a la normativa nacional y de la Unión Europea en materia de protección de datos.

b. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

c.  Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que  alguna  de  las  instrucciones infringe  el  RGPD  o  cualquier  otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

d. Comunicar donde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a ellos. (Munich, Alemania). Cualquier cambio al respecto que se produzca a lo largo de la vida del contrato, y que hubiera comunicado en la declaración deberán comunicarlo al responsable en el plazo de 10 días.

e.  Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

•  El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del Delegado de Protección de Datos.

•  Las categorías de tratamientos efectuados por cuenta de cada responsable.

• En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

•  Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

•    La sedonimización y el cifrado de datos personales.

•        La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

•        La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

•        El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

f.  No comunicar los datos a terceras personas, salvo que lo hubieran especificado en el expediente de contratación y que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado del tratamiento puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable del tratamiento. En este caso, el responsable del tratamiento identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

X Opción A:

No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado del tratamiento.

No puede subcontratar los servidores o los servicios asociados a los mismos, salvo que lo hubiera indicado en su oferta y hubiera señalado el nombre o perfil empresarial de los subcontratistas a los que se les va a encomendar su realización.

Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable del tratamiento, con veinte días de antelación, indicando qué tratamiento de datos personales conlleva la subcontratación e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable del tratamiento no manifiesta su oposición en el plazo de UN MES.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable del tratamiento. Corresponde al encargado del tratamiento regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

Opción B:

Se autoriza al encargado a subcontratar con la empresa ………………………………………………………. las prestaciones              que               comporten               los               tratamientos              siguientes:

…………………………………………………………………. para la finalidad……………………………………….

Para subcontratar con otras empresas, el encargado debe comunicarlo por escrito al responsable, con veinte días de antelación, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de UN MES.

El contratista ha manifestado en su oferta que no tiene previsto la subcontratación de servidores o servicios asociados a los mismos.

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las  obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

g.  Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice la prestación de los servicios correspondientes al Lote 1 (Refuerzo de los recursos del Punto Municipal del Observatorio Regional de violencia de género del Ayuntamiento de Alcalá de Henares y Lote 3 (Plan corresponsables) conforme a lo regulado en los pliegos técnicos y administrativos aprobados en la Junta de Gobierno Local de fecha 26 de julio de 2024 (Expediente de contratación 6654 BIS).

h.  Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

i. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

j.  Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

k. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos.

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección del Delegado de Protección de Datos del Ayuntamiento de Alcalá de Henares. (dpd@ayto- alcaladehenares.es). La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud el ejercicio de derecho, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.

l. Derecho de información.

El encargado del tratamiento, en el momento de la recogida de datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.

Notificación de violaciones de la seguridad de los datos (El plazo que se señala de 24 horas no se puede modificar)

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, antes de

24 horas, al correo electrónico del Delegado de Protección de Datos (dpd@ayto-alcaladehenres.es), las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Se facilitará, como mínimo, la información siguiente:

•  Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

•  El nombre y los datos de contacto del Delegado de Protección de Datos en su caso o de otro punto de contacto en el que pueda obtenerse más información.

• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

•  Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El encargado del tratamiento, a petición del responsable del tratamiento, comunicará en el menor tiempo posible esas violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el responsable del tratamiento, como mínimo:

• Explicar la naturaleza de la violación de datos.

• Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

•  Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

• Describir  las  medidas  adoptadas  o  propuestas  por  el  responsable  del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

      n. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas       a la protección de datos, cuando proceda.

o. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

p.  Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable del tratamiento u otro auditor autorizado por él.

q.  Implantar las medidas de seguridad siguientes:

Aquellas Medidas de Seguridad, de acuerdo con la evaluación de riesgos realizada por el responsable del tratamiento implantando mecanismos para:

•   Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

•   Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

•   Verificar,  evaluar  y  valorar,  de  forma  regular,  la  eficacia  de  las  medidas  técnicas  y organizativas implantadas para garantizar la seguridad del tratamiento.

•   Seudonimizar y cifrar los datos personales, en su caso.

r.  Designar un Delegado de Protección de Datos en su caso y comunicar su identidad y datos de contacto al responsable del tratamiento.

El Delegado de Protección de datos debe designarse cuando:

•   El tratamiento lo lleve a cabo una autoridad o un organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

•   Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;

•   Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

s. Todos los datos personales que se traten o elaboren por SARARTE S.L. como consecuencia del cumplimiento de la prestación de los servicios correspondientes al Lote 1 (Refuerzo de los recursos del Punto Municipal del Observatorio Regional de violencia de género del Ayuntamiento de Alcalá de Henares)  y  Lote  3  (Plan  corresponsables) conforme a  lo  regulado  en  los  pliegos  técnicos  y administrativos aprobados en la Junta de Gobierno Local de fecha 26 de julio de 2024 (Expediente de contratación 6654 BIS) así como los soportes del tipo que sean en los que se contengan son propiedad del Ayuntamiento de Alcalá de Henares.

t. Si el adjudicatario presta sus servicios en locales del Ayuntamiento y utiliza nuestros sistemas de información:

En el caso de que el adjudicatario y, en todo caso su personal, presten sus servicios en locales del Ayuntamiento de Alcalá de Henares y utilicen nuestros sistemas de información, deberán someterse al estricto cumplimiento de las normas y políticas aprobadas en materia de protección de datos. El acceso a las bases de datos del Ayuntamiento de Alcalá de Henares necesarias para la prestación del servicio se autorizará al adjudicatario para el exclusivo fin de la realización de las tareas objeto de este  contrato,  quedando  prohibido  para  el  adjudicatario y  para  el  personal  encargado  de  su realización, su reproducción por cualquier medio y la cesión total o parcial a cualquier persona física o jurídica.