Acuerdo de encargo del tratamiento de datos de carácter personal para la elaboración de estadísticas de absentismo y de siniestralidad
Primero.- De conformidad con lo establecido en el artículo 28 y ss. del Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, el “RGPD”) y entendiendo que el análisis dinámico de datos (ADD) de Asepeyo Oficina Virtual (AOV), requiere el tratamiento de datos bajo la responsabilidad de la empresa, Asepeyo, Mutua Colaboradora con la Seguridad Social nº 151 (en adelante, Asepeyo), declara conocer las obligaciones establecidas por el RGPD para el tratamiento de datos por cuenta de terceros, así como las impuestas por otras legislaciones que resultasen de aplicación, y se compromete a cumplir las mismas y las establecidas en la presente cláusula.
En lo sucesivo, la empresa será denominada “responsable del tratamiento”, y Asepeyo “encargado del tratamiento”, de acuerdo a las definiciones descritas en el RGPD.
- Descripción y finalidad del tratamiento. La finalidad del tratamiento por cuenta del encargado del tratamiento es la elaboración y entrega de estadística de absentismo conforme a los parámetros predeterminados por el responsable del tratamiento.
Los datos tratados por cuenta del responsable corresponden a las siguientes ‘categorías de interesados’:
- Empleados
Los tratamientos realizados por cuenta del responsable afectarán a las siguientes ‘tipología de datos’:
- Empleados: datos identificativos.
La información descrita en este apartado podrá y deberá adaptarse a la realidad del tratamiento en cada momento. Toda modificación del tratamiento requerirá siempre el acuerdo previo y, por escrito, entre las partes.
El responsable del tratamiento mantendrá indemne al encargado del tratamiento por cualquier reclamación que éste pudiera recibir por incumplimiento de la normativa que resulte de aplicación en relación con la obtención y el tratamiento de los datos objeto del encargo del tratamiento.
- Obligaciones del encargado del tratamiento: el responsable del tratamiento facilitará al encargado del tratamiento el acceso a los datos de carácter personal bajo su responsabilidad que resulten necesarios para la prestación de los servicios y realización de las actividades asignadas a éste.
El tratamiento de estos datos se realizará, siempre, bajo las instrucciones escritas del responsable del tratamiento y no aplicarán a una finalidad distinta de la referida en este acuerdo, salvo que así se hubiera acordado expresamente y por escrito con el responsable del tratamiento. En este sentido constituyen las instrucciones escritas lo dispuesto en el presente documento. No obstante, el responsable del tratamiento podrá comunicar en cualquier momento instrucciones adicionales en relación con el tratamiento de datos de carácter personal y la seguridad de la información, siempre y cuando lo haga de forma fehaciente.
El encargado del tratamiento no comunicará, transmitirá, cederá, pondrá a disposición o, de cualquier otro modo, permitirá el acceso de terceros a los datos de carácter personal bajo la responsabilidad del responsable del tratamiento, salvo por instrucción del responsable u obligación legal.
- Personal autorizado: el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a obligación de confidencialidad.
- Medidas de seguridad: el encargado del tratamiento deberá implementar las medidas de seguridad y organizativas oportunas para garantizar la protección de los datos de carácter personal titularidad del responsable del tratamiento, según lo descrito en el artículo 32 del RGPD. En todo caso, deberá implantar mecanismos para: (i) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (ii) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; (iii) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; (iv) Seudonimizar y cifrar los datos personales, siempre que sea posible y oportuno.
- Auditoría: el encargado del tratamiento pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones recogidas en este acuerdo.
El encargado del tratamiento permitirá al responsable del tratamiento la realización de auditorías para la verificación del cumplimiento de las obligaciones recogidas en el artículo 28 RGPD. Estas auditorías deberán contar con un preaviso mínimo de quince (15) días naturales. El encargado del tratamiento y el responsable acordarán de forma previa el objeto, alcance y plazo de la auditoría.
Tanto en el caso de que las auditorías fueran realizadas por sí mismo o por medio de tercero, el responsable del tratamiento garantizará que los auditores han suscrito un acuerdo de confidencialidad específico, comprometiéndose a remitir copia del mismo al encargado del tratamiento de forma previa al inicio de actividad auditora. El encargado del tratamiento podrá rechazar la realización de la auditoría hasta la recepción del acuerdo de confidencialidad.
- Transferencias internacionales: los tratamientos objeto de encargo se realizarán, en todo caso, dentro del territorio de la Unión Europea. No obstante, si el encargado del tratamiento debiera transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, deberá recabar la autorización previa y por escrito del responsable del tratamiento, facilitando la información necesaria en relación con las garantías adecuadas en relación con esta transferencia.
- Subcontratación: el encargado del tratamiento no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato, que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios, entre ellos los servicios informáticos. Si fuera necesario subcontratar algún tratamiento, deberá comunicarse al responsable del tratamiento, quien deberá autorizar previamente y por escrito la subcontratación.
El encargado del tratamiento deberá trasladar contractualmente al subcontratista las mismas obligaciones asumidas por éste en el presente acuerdo.
- Obligación de colaboración: el encargado del tratamiento deberá colaborar con el responsable del tratamiento en garantizar y demostrar el cumplimiento de la normativa vigente en materia de protección de datos. En concreto, el encargado del tratamiento deberá:
- (i) Asistir al responsable en la respuesta al ejercicio de derechos por parte de los interesados.
- (ii) Ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
- (iii) Comunicando a la mayor brevedad las violaciones de la seguridad de los datos de las que tuviese conocimiento y colaborar con el responsable del tratamiento para aportar la información requerida por la autoridad de control.
- Finalización: en caso de finalización por cualquier causa del convenio de asociación a la Mutua, los datos de carácter personal serán destruidos, no conservando el encargado del tratamiento copia alguna de los mismos en ningún soporte.
Segundo.- La empresa declara que el tratamiento de los datos personales realizado bajo su responsabilidad, es lícito de conformidad con lo previsto en el artículo 6 RGPD y que la persona que transmite estos datos a Asepeyo está autorizada para ello.
Tercero.- Asepeyo no es responsable de la exactitud de los datos que sean facilitados por la empresa, ni de las decisiones que ésta pueda adoptar a partir de la información del aplicativo de análisis dinámico de datos, siendo de su cuenta y riesgo el uso que dé a esta información.