Acuerdo de corresponsabilidad

Acuerdo de corresponsabilidad

El presente Acuerdo se ha establecido con motivo de la decisión conjunta de decidir sobre los objetivos y medios de tratamiento de datos personales, por lo que ambas partes deben ser consideradas Corresponsables del Tratamiento, (en adelante Corresponsables), de acuerdo con el artículo 26 del Reglamento (UE) 2016/679 General de Protección de Datos personales (RGPD).

Y reconociéndose ambas partes, con capacidad legal suficiente para el presente acto, se formaliza el presente Acuerdo, que se regirá de conformidad con las siguientes

 CLÁUSULAS

PRIMERA. - Objeto

El objeto del presente Acuerdo, es establecer el régimen jurídico aplicable al tratamiento de los datos personales que se traten o pudieran ser tratados por los Corresponsables, definiendo las actividades que desarrolle cada una de las partes, los principios y procedimientos a los que habrán de ceñirse en cada caso, así como las responsabilidades asumidas en el marco de la legislación aplicable y el presente Acuerdo.

SEGUNDA. - Funciones

Para la corresponsabilidad, se acuerdan las funciones siguientes para cada corresponsable:

TERCERA. - Identificación de los tipos de tratamiento

Los tipos de tratamiento acordados conjuntamente, que podrán realizarse en el marco de este Acuerdo son los siguientes:

CUARTA. - Identificación de la información a tratar

Los datos personales que serán objeto del tratamiento por parte de los Corresponsables, son los siguientes:

QUINTA. - Obligaciones

Los Corresponsables se obligan a:

1.       Realizar el registro de todas las categorías de actividades de tratamiento, conforme a lo dispuesto en el presente Acuerdo y con lo dispuesto en la legislación aplicable.

2.       Atender al ejercicio de los derechos de: Acceso, rectificación, supresión y oposición; Limitación del tratamiento; Portabilidad de datos. En este sentido, el corresponsable que reciba una petición de ejercicio de derechos deberá informar al otro corresponsable, sobre todo, ante la posibilidad de que el afectado o interesado pueda, en todo caso, ejercer los derechos que les reconoce la normativa aplicable frente a, y en contra de, cada uno de los corresponsables en atención a lo previsto en el artículo 26.3 del RGPD, a los datos de contacto siguiente:

3.       Ambos Corresponsables, en el momento de la recogida de los datos, deben facilitar de forma transparente, la información a la que se refieren los artículos 13 y 14 del RGPD.

4.       Ambas partes se asegurarán de que se cumplen los principios de tratamiento de datos personales a los que se refiere el artículo 5 del RGPD y que concurren las bases legales necesarias para recoger el consentimiento del interesado, conforme lo dispuesto en los artículos 7 y 8 del RGPD y demás normativa española concordante.

5.       Poner a disposición de los afectados los aspectos esenciales de este Acuerdo, conforme exige el artículo 26.2 del Reglamento (UE) 2016/679. Para ello se decide conjuntamente, publicarlos en la página web: https://www.russafasingluten.es.

6.       Designación de un delegado de protección de datos (en caso de estar obligado) y comunicar su identidad y datos de contacto al otro Corresponsable:

7.       Apoyarse mutuamente para la realización de las evaluaciones de impacto conjuntas, si procede, para dar cumplimiento al artículo 35 del RGPD, así como a la realización de consultas previas a la autoridad de control, cuando sea necesario.

8.       En caso de violaciones de seguridad y para dar cumplimiento al artículo 33 y 34 del RGPD, el Corresponsable afectado comunicará por escrito al otro Corresponsable, sin dilación indebida, aportando toda la información relevante para la documentación y comunicación de la incidencia. Asimismo, notificará cualquier fallo que haya sufrido en sus sistemas de tratamiento y gestión de la información y que pueda poner en peligro la seguridad de los datos personales tratados, su integridad o disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones accedidos durante la ejecución del Acuerdo.

Se facilitará, como mínimo, la información siguiente:

a.       Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b.       Datos de la persona de contacto para obtener más información.

c.        Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d.       Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El Corresponsable afectado, comunicará en el menor tiempo posible esas violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el responsable, como mínimo:

a.       La naturaleza de la violación de datos.

b.       Datos del punto de contacto donde se pueda obtener más información.

c.        Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

d.       Describir las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

9.       Auxiliar al otro Corresponsable a implantar las medidas de seguridad necesarias para:

a.       Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b.       Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

10.    Elaboración de las evaluaciones de impacto conjuntas, si procede, así como realización conjunta de consultas previas a la autoridad de control, cuando sea necesario.

11.    En caso de precisar la participación de encargados de tratamiento para llevar a cabo el tratamiento de datos personales que motiva este Acuerdo, se consensuará la elección y necesidad de contar con estos.

12.    Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.

13.    Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

14.    Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

15.    Poner a disposición mutua, toda la información necesaria para demostrar el cumplimiento de todas las obligaciones establecidas en el RGPD y LOPDGDD 3/2018, así como para la realización de las auditorías o las inspecciones que se acuerden conjuntamente u otro auditor autorizado por ambos.

16.    Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento, acordando conjuntamente la contratación de auditores de protección de datos externos que ofrezcan una valoración objetiva.

SEXTA. - Protección de datos y Confidencialidad

Los datos personales son necesarios para relacionarse entre las partes y se usarán siempre dentro de la legalidad. Los datos personales se conservarán mientras dure la relación y lo obliguen las leyes. En cualquier momento las partes pueden dirigirse entre ellas para saber qué datos personales se están tratando, rectificarlos si fuesen incorrectos y eliminarlos una vez finalizada la relación. También existe el derecho a solicitar el traspaso de la información a otra entidad (portabilidad). Para solicitar alguno de estos derechos, se debe realizar una solicitud escrita, junto con una fotocopia del DNI de la persona que quiera ejercerlos, a las direcciones postales especificadas por cada uno de los intervinientes en este Acuerdo. Si alguna de las partes entiende que se han vulnerado alguno de estos derechos, se podrá formular una reclamación en la Agencia Española de Protección de Datos C/ Jorge Juan, 6, 28001 Madrid.

Ambas partes se comprometen a guardar confidencialidad sobre el contenido de este Acuerdo, así como a los hechos, informaciones, conocimientos, documentos, objetos y cualesquiera otros elementos protegidos por el secreto, a los que se tengan acceso con motivo de la relación existente.

SEPTIMA. - Duración

Este Acuerdo entrará en vigor desde la fecha de su firma y estará vigente hasta fin de la relación entre las partes.

OCTAVA. - Responsabilidad

En caso de que una autoridad de control sancione a un Corresponsable que no haya cumplido las estipulaciones de este Acuerdo o de la normativa aplicable, así como en los casos en que se dicte una sentencia firme en el mismo sentido, éste responderá de forma directa debiendo indemnizar al otro Corresponsable de los daños y perjuicios causados, si este último se viera afectado de alguna forma como consecuencia de esta situación de incumplimiento y sin haber contribuido a tal infracción de la que trae causa la sanción impuesta o la sentencia condenatoria correspondiente.

Cuando los Corresponsables hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3 del artículo 82 del RGPD, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada Corresponsable será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. En todo caso, según el artículo 82.5 del RGPD, cuando de conformidad con el apartado 4 del mismo artículo, uno de los Corresponsables haya pagado una indemnización total por el perjuicio ocasionado, éste tendrá derecho a reclamar al otro Corresponsable la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el artículo 82.2 del RGPD.