Contrato de encargado de tratamiento

De una parte D. DIEGO MUIÑO FREIRE, en su propio nombre y representación, en adelante ENCARGADO DE TRATAMIENTO, con domicilio en OS CASAS Nº 59 - 15620 MUGARDOS (A CORUÑA).

Y de otra parte, el organizador del evento, identificado en el presente formulario, en adelante RESPONSABLE DE TRATAMIENTO.

Manifiestan

1. Objeto del encargo del tratamiento

Orquestas de Galicia es una Plataforma tecnológica que gestiona los registros de los asistentes a los eventos, en nombre de los Organizadores del Evento, los cuales son los responsables de tratamiento de dichos datos de carácter personal.

Dicho encargo de tratamiento se deriva de la obligación impuesta a los Responsables de tratamiento, los organizadores de los eventos, por el Protocolo de espectáculos musicais ao aire libre de media afluencia (público de pé), para facer fronte á crise sanitariaocasionada pola COVID-19 publicado por la Xunta de Galicia.

2. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento objeto de este encargo, el RESPONSABLE DE TRATAMIENTO, pone a disposición del ENCARGADO DE TRATAMIENTO la información que se describe a continuación:

  • ASISTENTES: Los datos necesarios para prestar el servicio: nombre, apellidos y nº de teléfono.

3. Duración

La duración de las obligaciones contenidas en este contrato, será idéntica a la duración de la prestación del servicio por parte de DIEGO MUIÑO FREIRE como Plataforma tecnológica que gestiona los registros de los asistentes. Asimismo el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso, en virtud del presente encargo se mantendrá en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre RESPONSABLE y ENCARGADO DE TRATAMIENTO.

El ENCARGADO DE TRATAMIENTO, facilitará en un formato legible y de fácil comprensión el registro de asistencia al RESPONSABLE DE TRATAMIENTO mediante correo electrónico, una vez finalizado el evento.

Será el organizador del mismo, quien como RESPONSABLE DE TRATAMIENTO, deberá cumplir con todas las medidas técnicas y organizativas en materia de Protección de Datos, así como velará por el correcto cumplimiento de la normativa aplicable, una vez recibidos los registros.

Una vez entregados los registros, el ENCARGADO DE TRATAMIENTO conservará los datos bloqueados durante 3 meses. Y transcurrido el plazo establecido para cubrir las citadas responsabilidades legales, los datos de carácter personal deberán ser destruidos o devueltos, al igual que cualquier soporte o documento en que conste algún dato de carácter personal.

4. Obligaciones del encargado de tratamiento

El ENCARGADO DE TRATAMIENTO y todo su personal se obliga a:

  1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo con la finalidad objeto de este encargo, descrita en el apartado 1 de este contrato. En ningún caso podrá utilizar los datos para fines propios.
  2. Tratar los datos de acuerdo con las instrucciones del RESPONSABLE DE TRATAMIENTO.
  3. Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable que contenga:
    1. Nombre y datos de contacto del ENCARGADO DE TRATAMIENTO y, en su caso del representante del responsable o del encargado y del delegado de protección de datos.
    2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
    3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
    4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
      1. La seudonimización y el cifrado de datos personales.
      2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y la adaptación a situaciones adversas permanentes de los sistemas y servicios de tratamiento.
      3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
      4. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO, en los supuestos legalmente admisibles.
  5. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

    Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 15 días naturales, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.

    El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO DEL TRATAMIENTO y las instrucciones que dicte el RESPONSABLE DE TRATAMIENTO.
  6. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

    Habrá de garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

    Así, el ENCARGADO DE TRATAMIENTO permitirá el acceso a la información únicamente a aquellos de sus empleados que tengan necesidad de acceder a los mismos, de manera que puedan llevar a cabo sus funciones en relación con los servicios. El ENCARGADO DE TRATAMIENTO se obliga a no divulgar la información contenida en los registros de actividades en todo o en parte a personas que no tengan necesidad de acceder a los mismos.

    El ENCARGADO DE TRATAMIENTO dará a conocer y exigirá el cumplimiento al personal de su entidad que realice los servicios, de las obligaciones contenidas en este Contrato, y garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

    El ENCARGADO DE TRATAMIENTO deberá mantener a disposición del RESPONSABLE DE TRATAMIENTO la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
  7. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de Acceso, rectificación, supresión y oposición; limitación del tratamiento; portabilidad de datos; a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

    Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo al RESPONSABLE DE TRATAMIENTO. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
  8. El encargado del tratamiento notificará al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de un día laborable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

    No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
  9. Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
  10. Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a la autoridad de control, cuando proceda.
  11. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
  12. Implantar las medidas de seguridad establecidas en el Reglamento General de Protección de Datos y normativa española vigente. En concreto, adoptará medidas para:

    1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico: se realizará una copia de seguridad.
    3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
    4. Seudonimizar y cifrar los datos personales, en su caso.
  13. Devolver al RESPONSABLE DEL TRATAMIENTO los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

5. Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

  • Realizar las consultas previas que corresponda.
  • Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
  • Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
  • Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
  • Toda la responsabilidad con respecto a la custodia y almacenamiento de los datos de carácter personal recae sobre el responsable de tratamiento, al ser éste quien tiene la obligación de llevar dicho registro.

Dicho contrato se entenderá conforme y formalizado por parte del organizador del evento identificado en el presente formulario al marcar la casilla de "He leído y acepto los términos y condiciones estipulados en el presente contrato de encargado de tratamiento".