 CONTRATO DE PRESTACIÓN DE SERVICIOS CON EMPRESA DE MANTENIMIENTO DE SOFTWARE  

MADRID, 19 de Junio de 2019

REUNIDOS

De una parte, Nombre de la empresa /Respondable con DNI XXXXXXXXX como representante legal de EMPRESA con CIF XXXXXXXXX y con domicilio sito en DIRECCION COMPLETA, Nº /CP /PROVINCIA, de ahora en adelante Encargado de

Tratamiento.

Y de otra, Nombre de la empresa /Respondable con DNI XXXXXXXXX, como representante legal de EMPRESA, con CIF XXXXXXXXX y con domicilio en DIRRECION COMPLETA /Nº, /CP /PROVINCIA, de ahora en adelante Responsable de Tratamiento.

INTERVIENEN ambas partes en el nombre y la representación indicada, reconociéndose mutuamente capacidad legal necesaria para suscribir el presente contrato y cumplir con las obligaciones, deberes y derechos que se derivan del mismo y, en base a ello y a tal efecto libremente

EXPONEN

PRIMERO.- Que a los efectos del presente contrato se entienden por:

Datos personales: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Interesado: es la persona física identificada o identificable.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Responsable de Tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Encargado de Tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable de Tratamiento.

Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

SEGUNDO.- Que a los efectos del presente contrato, el Responsable de Tratamiento ha encomendado al Encargado de Tratamiento la prestación de los siguientes servicios:

Mantenimiento informático de software

Cualquier otra actividad propia del servicio contratado

TERCERO.- Que para la correcta prestación de los servicios relacionados, el Responsable de Tratamiento pondrá a disposición del Encargado de Tratamiento datos de carácter personal automatizados o no automatizados que contienen datos personales.

CUARTO.- Que en cumplimiento del artículo 28 del Reglamento General Europeo de Protección de Datos (en adelante, RGPD), ambas partes acuerdan libremente regular el acceso y tratamiento de los datos de carácter personal mencionados, en base a las siguientes.

CLÁUSULAS

PRIMERA.- Objeto: el tratamiento de los datos de carácter personal que el Responsable de Tratamiento pone a disposición del Encargado de Tratamiento para que este pueda prestar los servicios identificados en el expositivo SEGUNDO.

SEGUNDA.- Duración: el plazo de vigencia del presente contrato se establece en virtud del acuerdo mercantil que se ha formalizado entre ambas partes.

TERCERA.- Finalidad del tratamiento: el acceso por parte del Encargado de Tratamiento a los datos de carácter personal que se encuentran en los sistemas de tratamiento del Responsable de Tratamiento, será única y exclusivamente para dar cumplimiento a las finalidades relacionadas en el expositivo SEGUNDO.

CUARTA.- El Encargado de Tratamiento podrá acceder a la categoría de interesados y de datos establecida en el Anexo I del presente contrato.

QUINTA.- Corresponsables del tratamiento: según el artículo 26 del RGPD se considerarán corresponsables del tratamiento ambas partes. Dicha corresponsabilidad se considerará de mutuo acuerdo con la firma del presente contrato y se recogerán en las cláusulas SEXTA y SÉPTIMA.

SEXTA.- Obligaciones y derechos del Responsable de Tratamiento: según lo establecido en el artículo 24 del RGPD el Responsable de Tratamiento deberá:

1. Aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme a la legislación vigente

2. Adoptar las políticas en materia de protección de datos

3. Garantizar que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales

4. Adherirse al Código de Conducta que pueda aprobarse por parte de la Comisión u organismo correspondiente

5. Llevar un registro de actividades de tratamiento en caso de tratar datos personales que supongan un riesgo para los derechos y libertades del interesado y/o de manera no ocasional, o que implique el tratamiento de categorías especiales de datos y/o datos relativos a condenas e infracciones. El contenido del registro deberá cumplir con los requisitos que se establecen en el artículo 30.1, 30.3 y 30.4 del RGPD

6. Poner a disposición de los interesados los aspectos esenciales del presente acuerdo

7. Atender indistintamente los ejercicios de derecho establecidos en los artículos 15 a 22 del RGPD y cumpliendo las estipulaciones que se indican en la cláusula OCTAVA aunque dicho ejercicio se dirija ante el Encargado de Tratamiento

SÉPTIMA.- Obligaciones y derechos del Encargado de Tratamiento: según lo establecido en el artículo 28 del RGPD, el Encargado de Tratamiento deberá:

1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público

2. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria

3. Tomar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, y en particular las que se especifican en el artículo 32 del RGPD

4. Respetar las condiciones para recurrir a otro Encargado de Tratamiento, según lo establecido en los artículos 28.2 y 28.4 del RGPD

5. Asistir al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados

6. Ayudar al responsable a garantizar el cumplimiento de sus obligaciones, teniendo en cuenta la naturaleza del tratamiento y la información que está a su disposición

7. A elección del responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros

8. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable

9. Tratar los datos personales puestos a disposición del Encargado de Tratamiento de manera que garantice que el personal a su cargo sigue con las instrucciones del

Responsable de Tratamiento

10. Garantizar que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales

11. Adherirse al Código de Conducta que pueda aprobarse por parte de la Comisión u organismo correspondiente

12. Llevar un registro de actividades de tratamiento en caso de tratar datos personales que supongan un riesgo para los derechos y libertades del interesado y/o de manera no ocasional, o que implique el tratamiento de categorías especiales de datos y/o datos relativos a condenas e infracciones. El contenido del registro deberá cumplir con los requisitos que se establecen en el artículo 30.2, 30.3 y 30.4 del RGPD

13. Atender indistintamente los ejercicios de derecho establecidos en los artículos 15 a 22 del RGPD y cumpliendo las estipulaciones que se indican en la cláusula OCTAVA aunque dicho ejercicio se dirija ante el Responsable de Tratamiento

OCTAVA.- Ejercicio de derechos por parte del interesado: si el interesado dirige alguna solicitud o ejerce alguno de los derechos establecidos en los artículos 15 a 22 del RGPD, el Responsable de Tratamiento y/o el Encargado de Tratamiento deberán facilitarle la información sobre las actuaciones solicitadas y realizadas, sin demora y, a más tardar, en el plazo de un mes a partir de la recepción de la solicitud, el cual podrá prorrogarse un máximo de otros dos meses en caso necesario, teniendo en cuenta la complejidad de la solicitud y el número de las solicitudes.

En el mismo sentido, pero en el caso de que el Responsable de Tratamiento y/o el Encargado de Tratamiento no dé curso a la solicitud del interesado, le informará sin demora, y a más tardar al mes de la recepción de la solicitud, de las razones por las que no ha actuado y de la posibilidad de presentar una reclamación ante una Autoridad de Control y de interponer recurso judicial.

La respuesta a la solicitud al ejercicio de derecho se realizará en el mismo formato que haya utilizado el interesado, a menos que solicite que se proceda de otro modo.

NOVENA.- Transferencia Internacional de Datos: las Transferencias Internacionales de Datos personales sólo podrán realizarse si se cumplen con las exigencias recogidas en el artículo 44 a 50 del Capítulo V del RGPD.

En el caso de que se realicen o se tenga previsto realizar alguna Transferencia Internacional de Datos se deberá regular este tipo de tratamiento de forma independiente al presente contrato de prestación de servicios, el cual será vinculante entre las partes desde el momento de su firma. Dicha regulación se referenciará como Anexo y se adjuntará al presente contrato.

Si algunas de las partes decidieran realizar Transferencias Internaciones de Datos, sin el beneplácito de la otra parte, quedará sin efecto la cláusula QUINTA eximiendo a la parte afectada de cualquier responsabilidad que pudiera derivarse.

DÉCIMA.- Violación de seguridad de los datos: en caso de violación de la seguridad de los datos personales, el Responsable de Tratamiento y/o el Encargado de Tratamiento la notificará a la Autoridad de Control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella teniendo en cuenta lo establecido en el artículo 33 y 34 del RGPD.

UNDÉCIMA.- Rescisión, resolución y extinción: la rescisión, resolución o extinción de la relación contractual de prestación de servicios entre el Responsable de Tratamiento y el Encargado de Tratamiento, obligará a este último a conservar los datos de carácter personal facilitados por el primero, siempre que exista la obligación legal de conservación.

Una vez transcurrido el plazo establecido para cubrir las responsabilidades legales, los datos de carácter personal deberán ser destruidos o devueltos al Responsable de Tratamiento, al igual que cualquier soporte o documento en que conste algún dato de carácter personal.

Y en prueba de conformidad, firman todas las hojas del presente contrato por duplicado y a un solo efecto, en el lugar y la fecha señalados en el encabezamiento del presente documento.

RESPONSABLE DE TRATAMIENTO ENCARGADO DE TRATAMIENTO

EMPRESA                                                                                          EMPRESA SL