Solicite DEMO

DPA-Encargado de Tratamiento

ANEXO DPA (DATA PROCESSING AGREEMENT) – CONTRATO DE ENCARGADO DE TRATAMIENTO

De una parte.- La entidad NATURALSOFT SOLUTIONS  SL con número de CIF B19512672, y con domicilio de notificaciones sito en c/ Córdoba n 64, 18193 Monachil, Granada, España ; en adelante Encargado del Tratamiento 

Y de otra parte.- EL CLIENTE (persona física o jurídica que contrata una licencia de uso de a cualquiera de los programas o plataformas de software ofertados por el ENCARGADO DEL TRATAMIENTO), en adelante Responsable del Tratamiento 

Las PARTES se reconocen recíprocamente en el carácter que intervienen, la capacidad jurídica necesaria para otorgar el presente CONTRATO DE ENCARGADO DE TRATAMIENTO, a cuyos efectos,

MANIFIESTAN

I.- Que ambas partes mantienen una relación mercantil en virtud de la cual el Responsable del Tratamiento es licenciatario de un programa/plataforma de software cuya titularidad corresponde al Encargado de Tratamiento

II.- Que el funcionamiento de dicho software, implica que el Encargado del Tratamiento trate datos personales cuya responsabilidad corresponde al  Responsable del Tratamiento.

III.- Que, para regular el acceso y tratamiento de los datos personales descrito en este documento, ambas PARTES acuerdan aceptan el presente ANEXO DPA -CONTRATO DE ENCARGADO DE TRATAMIENTO, el cual se regulará por las siguientes,

CLAUSULAS

PRIMERA.- Objeto del encargo del tratamiento.

1.1. El presente Contrato tiene por objeto definir las condiciones conforme a las cuales el Encargado de Tratamiento llevará a cabo el tratamiento de datos personales necesario para la correcta prestación de los Servicios descritos en este contrato.

1.2. La prestación de los Servicios descritos implica la realización por el Encargado del Tratamiento de los siguientes operaciones de tratamiento: recogida, registro, modificación, almacenamiento, comunicación y/o transmisión, supresión. 

SEGUNDA.- Duración.

El presente Contrato estará vigente durante todo el tiempo de prestación de los Servicios descritos en este documento. No obstante lo anterior, ambas Partes acuerdan que las estipulaciones del presente Contrato relativas a la confidencialidad de los datos tratados, se mantendrán en vigor y continuarán vinculando a ambas partes según lo estipulado incluso una vez finalizado el mismo.

TERCERA.- Finalidad del Tratamiento.

Los datos personales serán tratados, únicamente, para llevar a cabo la prestación de los Servicios descritos. Si el Encargado del Tratamiento considerase necesario llevar a cabo un tratamiento de los datos con una finalidad distinta deberá proceder a solicitar previamente la autorización por escrito del Responsable del Tratamiento. A falta de dicha autorización, el Encargado del Tratamiento no podrá efectuar dicho tratamiento. 

CUARTA.- Identificación de los datos tratados y categorías de interesados.

4.1. Los tipos de datos personales que el Encargado del Tratamiento tratará en virtud de este Contrato son los siguientes:

  • Datos identificativos y de contacto: Nombre y apellidos, dni, dirección, teléfono correo electrónico, imagen.
  • Datos de salud: Historial médico, diagnósticos, tratamientos, etc.
  • Datos administrativos: Información de facturación y seguros, citas médicas.
  • Datos de Acceso y Autenticación: Usuarios y roles dentro del sistema.

4.2. Las categorías de interesados cuyos datos serán tratados por el Encargado del Tratamiento en virtud de este Contrato son las siguientes: datos de pacientes,  empleados, proveedores y clientes del Responsable del Tratamiento

QUINTA.- Obligaciones del Responsable del Tratamiento.

Para la ejecución del Servicio, el Responsable del Tratamiento se compromete a poner a disposición del Encargado del Tratamiento los datos personales y/o la información necesaria para el adecuado tratamiento de los mismos para la prestación de los Servicios.

SEXTA.- Obligaciones del Encargado del Tratamiento.

6.1. El Encargado del Tratamiento se compromete a cumplir las siguientes obligaciones:

A. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para otros fines o para fines propios el Encargado de Tratamiento.

B. Tratar los datos de acuerdo con las instrucciones del Responsable del Tratamiento. Si el Encargado del Tratamiento considera que alguna de las instrucciones infringe el RGPD, la Ley Orgánica 3/2018 de C. Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD) o cualquier otra disposición en materia de protección de datos de carácter personal de la Unión o de los Estados miembros, el Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento.

Mantener el deber de secreto con respecto a los datos de carácter personal a los que tenga acceso, incluso después de finalizada la relación mercantil, así como a garantizar que las personas a su cargo se hayan comprometido por escrito a mantener la confidencialidad de los datos personales tratados y a cumplir las medidas de seguridad correspondientes.

Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales, así como la información pertinente sobre las medidas de seguridad que deberán cumplir. 

D. Garantizar, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • La seudonimización y el cifrado de datos personales;
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad tendrá particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

E.- No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admisibles.

El Encargado del Tratamiento puede comunicar los datos a otros encargados del tratamiento del mismo Responsable del Tratamiento, de acuerdo con las instrucciones del Responsable del Tratamiento. En este caso, el Responsable del Tratamiento identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el Encargado del Tratamiento debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable del Tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

F. Guardar bajo su control y custodia los datos personales a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a otras personas ajenas al mismo y a la prestación del Servicio objeto del presente Contrato.

No obstante, el Responsable del Tratamiento podrá autorizar al Encargado del Tratamiento para que recurra a otro Encargado del Tratamiento (en adelante, el “Sub-encargados”), cuyos datos identificativos  y servicios prestados deberán ser comunicados al Responsable del Tratamiento, antes del inicio de la prestación del servicio, con una antelación mínima de siete días. El Encargado del Tratamiento informará del mismo modo al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de los Subcontratistas, dando así al responsable la oportunidad de oponerse a dichos cambios.

En caso de hacer uso personas o entidades sub-encargadas, el Encargado del Tratamiento queda obligado a trasladar y comunicar  a cada Sub-encargado el conjunto de las obligaciones que para el Encargado del Tratamiento se derivan del presente Contrato y, en particular, la prestación de garantías suficientes de que aplicará medidas técnicas y organizativas apropiadas, de manera que el tratamiento se conforme con la normativa aplicable. 

En cualquier caso, queda autorizado el acceso a los datos que realicen las personas físicas que presten sus servicios al Encargado del Tratamiento actuando dentro del marco organizativo de éste en virtud de una relación mercantil y no laboral. Asimismo, queda autorizado el acceso a los datos a las empresas y profesionales que el Encargado del Tratamiento tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías, etc.), siempre que dichas tareas no hayan sido concertadas por el Encargado del Tratamiento con la finalidad de subcontratar con un tercero todo o parte de los Servicios que presta al Responsable del Tratamiento.

El listado completo y actualizado de sub-encargados que prestan servicios generales dentro del ámbito organizativo interno del Encargado del Tratamiento y que por tanto, se encuentran autorizados por el Responsable del Tratamiento se detalla, en la url https://naturalsoft/subencargados y cualquier modificación en los mismos será puesta en conocimiento del Responsable del Tratamiento, con carácter previo a los efectos de autorización previa detallados en este apartado.

G. Suprimir o devolver al Responsable del Tratamiento, a su elección, todos los datos personales a los que haya tenido acceso para prestar el Servicio. Asimismo, el Encargado del Tratamiento se obliga a suprimir las copias existentes, a menos que exista una norma jurídica que exija la conservación de los datos personales. No obstante, el Encargado del Tratamiento podrá conservar los datos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento.

H. Notificar sin dilación indebida al Responsable del Tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento, dando apoyo al Responsable del Tratamiento en la notificación a la Agencia Española de Protección de Datos u otra Autoridad de Control competente, y en su caso, a los interesados de las violaciones de seguridad que se produzcan, así como a darle apoyo, cuando sea necesario, en la realización de evaluaciones de impacto de privacidad y en la consulta previa a la Agencia Española de Protección de Datos, cuando proceda, así como asistir al Responsable del Tratamiento para que éste pueda cumplir con la obligación de dar respuesta a las solicitudes de ejercicio de derechos.

I. Cuando se cumplan los requisitos establecidos por el art. 30 del RGPD, llevar por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable del Tratamiento. 

J. Cooperar con la Agencia Española de Protección de Datos u otra Autoridad de Control, a solicitud de ésta, en el cumplimiento de sus atribuciones.

K. Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Contrato y para permitir y contribuir a la realización de auditorías, incluidas las inspecciones, por parte del Responsable del Tratamiento o un tercero autorizado por él. La falta de acreditación de que el Encargado del Tratamiento esté cumpliendo correctamente las obligaciones asumidas en este Contrato, será causa de resolución del mismo.

L. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 

Acceso, rectificación, supresión y oposición.

Limitación del tratamiento.

Portabilidad de datos.

A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

M. Nombrar un Delegado de Protección de Datos, si se cumplen los requisitos establecidos en el Art. 37 del RGPD o 34 de la LOPDGDD

N. En todo caso, y sin perjuicio del resto de medidas adoptadas o deinstrucciones adicionales por el Responsable del Tratamiento, el Encargado del Tratamiento, se compromete implantar como mínimo las siguientes medidas de seguridad:

 

  • Entorno seguro: los locales donde se tratan los datos deben contar con medios mínimos de seguridad como extintores, alarmas, etc.
  • Funciones y obligaciones del personal: las funciones y obligaciones de cada uno de los usuarios o perfiles de usuario con acceso a datos y a los sistemas estarán claramente definidas y documentadas.
  • Control de acceso: el personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. Se deberán establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
  • Identificación y autenticación: se establecerá un sistema que permita la identificación inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la debida autenticación para verificar la identidad del usuario.
  • Almacenamiento seguro de soportes y documentos: los dispositivos de almacenamiento de los soportes y documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura, mediante llaves u otros medios similares.
  • Software anti-malware: en los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema anti-malware que evite, en la medida de lo posible, el robo y la destrucción de la información y datos.
  • Destrucción y reutilización de equipos y soportes: los desechos informáticos, de cualquier tipo, que puedan contener datos personales, deberán ser eliminados o destruidos de forma segura para garantizar que no se va a poder acceder a ellos.
  • Traslado seguro de soportes y documentos: cuando los soportes y/o documentos salgan fuera de los locales de tratamiento, se adoptarán las medidas necesarias para impedir la sustracción, pérdida o acceso indebido a la información durante el transporte.
  • Acceso a través de redes de comunicaciones: los accesos a los datos de carácter personal realizados a través de redes de comunicaciones, sean o no públicas, deberán realizarse de forma segura.
  • Copias de Seguridad: Disponer de un sistema de copias de seguridad adecuado a la naturaleza de los datos tratados y probado a intervalos planificados.
  • Cifrado en tránsito y reposo de los datos personales de categoría especial que puedan ser tratados
  • En el caso de que fuera necesaria la adopción de medidas de seguridad adicionales, serán añadidas al presente Contrato mediante Anexo.

6.2. Si el Encargado del Tratamiento o cualquiera de sus Sub-encargados infringe el presente Contrato o alguna normativa al determinar los fines y medios del tratamiento, será considerado responsable de dicho tratamiento.

SÉPTIMA.- Legislación y fuero aplicable.

El presente Contrato se regirá de acuerdo con la normativa española y europea en materia de Protección de Datos de Carácter Personal, así como las resoluciones y directrices de la Agencia Española de Protección de Datos y otros organismos competentes en la materia. Para dirimir cualquier discrepancia con respecto a la interpretación y/o ejecución de lo establecido en el presente Contrato, ambas Partes se someten a la jurisdicción de los Juzgados y Tribunales de Granada con renuncia expresa de cualquier otra legislación o fuero que les pudiera corresponder. 

Si desea obtener una copia firmada y personalizada de este documento, puede solicitarla a info@naturalsoft.es

Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.