4. Obligaciones del encargado del tratamiento
El ENCARGADO DEL TRATAMIENTO, y todo su personal se obliga a:
A. Utilizar los datos personales objeto del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del Servicio. En ningún caso podrá utilizar los datos para fines propios ni podrá llevar a cabo tratamientos fuera del alcance del Servicio.
B. Tratar los datos de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.
C. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO, que contenga:
a. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
b. Las categorías de tratamientos efectuados por cuenta de cada responsable.
c. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, de las transferencias indicadas en el artículo 49, párrafo segundo del RGPD, la documentación de garantías adecuadas.
d. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
i. La seudonimización y el cifrado de datos personales.
ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
D. No comunicar datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO, en los supuestos legalmente admisibles. El ENCARGADO DEL TRATAMIENTO puede comunicar datos a otros encargados del tratamiento del RESPONSABLE DEL TRATAMIENTO, de acuerdo con las instrucciones del RESPONSABLE DEL TRATAMIENTO. En este caso, el RESPONSABLE DEL TRATAMIENTO identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el ENCARGADO DEL TRATAMIENTO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembro que le sea aplicable, informará al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal de manera previa, salvo que el Derecho lo prohíba por razones importantes de interés público.
E. El RESPONSABLE DEL TRATAMIENTO autoriza al ENCARGADO DEL TRATAMIENTO a subcontratar a terceros que le prestan servicios (en delante, subcontratistas). Estos subcontratistas pueden o no ser proveedores externos dentro de la UE / EEE.
En el caso que un subcontratista este dentro de una jurisdicción fuera de la UE / EEE y que no está en la lista aprobada por la Comisión Europea de niveles de protección de datos satisfactorios bajo el RGPD, el ENCARGADO DEL TRATAMIENTO y dicho subcontratista suscribirán un acuerdo expreso para asegurar que mantendrá todos los datos personales con exquisito cumplimiento de los estándares de diligencia exigidos por las leyes vigentes de protección de datos de la UE.
En virtud del presente acuerdo el RESPONSABLE DEL TRATAMIENTO consiente de manera previa específica y explícita el uso por parte ENCARGADO DEL TRATAMIENTO de subcontratista. en virtud del presente encargo, incluso después de que finalice su objeto.
F. Garantizar que las personas autorizadas para tratar datos personales se comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
G. Mantener a disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
H. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
I. Asistir al RESPONSABLE DEL TRATAMIENTO en la respuesta al ejercicio de los derechos de:
a. Acceso, rectificación, supresión y oposición.
b. Limitación del tratamiento.
c. Portabilidad de los datos.
d. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo por correo electrónico a la dirección dpd@jotelulu.com. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud. El ENCARGADO DEL TRATAMIENTO no debe responder bajo ninguna circunstancia, en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, a las solicitudes que reciba, excepto con el consentimiento previo del RESPONSABLE DEL TRATAMIENTO.
J. Corresponde al RESPONSABLE DEL TRATAMIENTO facilitar el derecho de información en el momento de la recogida de los datos.
K. Notificación de violaciones de la seguridad de los datos: el ENCARGADO DEL TRATAMIENTO notificará al responsable del tratamiento, sin dilación indebida, y, en cualquier caso, antes del plazo máximo de 24 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Esta comunicación se realizará de la siguiente forma: Enviando un correo electrónico al RESPONSABLE DEL TRATAMIENTO.
La comunicación contendrá, como mínimo, la información siguiente:
a. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. Corresponde al encargado del tratamiento comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.
La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:
a. Explicar la naturaleza de la violación de datos.
b. Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
d. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
L. Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos cuando proceda.
M. Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a la autoridad de control, cuando proceda.
N. Poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE DEL TRATAMIENTO u otro auditor autorizado por él.
O. En todo caso, deberá implantar mecanismos para:
a. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d. Seudonimizar y cifrar los datos personales, en su caso.
P. Destino de los datos una vez finalice la prestación de los servicios: El ENCARGADO DEL TRATAMIENTO deberá devolver al RESPONSABLE DEL TRATAMIENTO los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el ENCARGADO DEL TRATAMIENTO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades relativa a la ejecución de la prestación.
