✅Protección de datos (acuerdo)

1. Información sobre protección de datos con respecto a las partes firmantes de este acuerdo:

HABILMIND, S.L., Calle Ferraz 28, 28008 Madrid (España). El Centro: según los datos del encabezamiento del presente acuerdo. Fines del tratamiento: prestación de servicios especificados en el objeto de este acuerdo. Datos de contacto del Delegado de Protección de Datos de HABILMIND:

[email protected] Base jurídica: este acuerdo, obligaciones legales, interés legítimo en el caso de personas de contacto. Destinatarios: no se prevén, salvo administraciones públicas, en su caso. Plazo de conservación: mientras dure este acuerdo. Una vez que finalice, se conservarán durante los plazos de prescripción de las acciones. Derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad, que puede ejercitar en la dirección arriba expuesta o en [email protected] o bien llamando al +34911014138. Puede ejercitar una reclamación ante la autoridad de Control.

Los datos recopilados serán anonimizados automáticamente para realizar investigaciones, diagnósticos técnicos o análisis, lo que significa que no se podrán revertir ni vincular con personas o instituciones específicas. Universidades u otras entidades que accedan a esta información no tendrán acceso a datos personales, como nombres o centros educativos, asegurando la confidencialidad completa.

1. Acuerdo de tratamiento de datos

En caso de que HABILMIND someta a tratamiento datos personales del Centro, de su personal o docentes, o de sus alumnos para cumplir con el objeto de este acuerdo, el Centro será RESPONSABLE DEL TRATAMIENTO O RESPONSABLE, mientras que HABILMIND, S.L. será el ENCARGADO DEL TRATAMIENTO O ENCARGADO. El tratamiento de los datos personales es necesario para la prestación del servicio. El RESPONSABLE ha decidido elegir a este ENCARGADO porque este último ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiadas a los datos facilitados, garantizando que el tratamiento encargado se ajusta al Reglamento (UE) 2016/679, de Protección de Datos (RGPD) y normativa que lo desarrolle, y garantiza la protección de los derechos de los interesados, según los siguientes acuerdos:

2.1 Objeto, naturaleza, finalidad y duración del encargo.

Es objeto y naturaleza de este acuerdo el encargo de un servicio que supone el necesario tratamiento de los datos facilitados por el RESPONSABLE al ENCARGADO para poder cumplir el acuerdo, que es el acceso y validación de un instrumento, test o prueba concreta. El ENCARGADO DEL TRATAMIENTO únicamente tratará los datos conforme a las instrucciones documentadas del RESPONSABLE DEL TRATAMIENTO, y para la finalidad objeto del acuerdo, no comunicándolos a ningún tercero. Duración: el plazo de este acuerdo. Acceso a servicios, según se haya acordado. El tipo de datos personales y categorías de interesados objeto de este encargo es el siguiente: datos de alumnos, personal. Las operaciones de tratamiento son: recogida, grabación, consulta, envío, modificación, conservación, borrado, anonimización y destrucción.

2.2. Obligaciones del ENCARGADO

El ENCARGADO y todo su personal destinado a la prestación de los servicios a EL RESPONSABLE se obliga a:

2.2.1. Prestar los servicios con arreglo a lo dispuesto en la legislación vigente de protección de datos de carácter personal, a los dispuesto en este acuerdo y según las instrucciones documentadas del RESPONSABLE, no pudiendo el ENCARGADO utilizar dichos datos con fin distinto al que figura en este acuerdo ni utilizar los datos para fines propios. Si el ENCARGADO considera que alguna de las instrucciones del RESPONSABLE infringe o puede infringir la normativa vigente en materia de protección de datos de carácter personal y, en especial, el Reglamento (UE) 2016/679, informará por escrito, inmediatamente, al RESPONSABLE.

2.2.2. No transmitir o comunicar a terceros bajo ninguna circunstancia los datos personales de los tratamientos cuyo responsable es el RESPONSABLE, salvo instrucciones expresas y escritas.

2.2.3. Garantizar que las personas que formen parte de la estructura y como medios humanos del ENCARGADO, autorizados por éste para tratar datos personales del RESPONSABLE, se hayan comprometido de forma expresa y por escrito, a respetar normas de confidencialidad y a cumplir las medidas de seguridad correspondientes a sus funciones, de las que el ENCARGADO les habrá de informar por escrito. Mantener el deber de secreto respecto a los datos de carácter personal a los que tendrá acceso en virtud del presente acuerdo, incluso una vez que finalice la prestación de los servicios solicitados.

2.2.4. Adoptará y mantendrá las medidas de seguridad necesarias y garantía del derecho de las personas afectadas, según lo establecido en el Art. 32 del RGPD, debiendo establecer en su caso, entre otras, las siguientes medidas:

1. la seudonimización y cifrado de datos personales;

2. la capacidad de garantizar la confidencialidad integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

4. haber establecido un proceso de verificación, evaluación y valoración regulares de la eficiencia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento;

5. otras medidas de seguridad que el encargado adopte por medio de su responsabilidad proactiva teniendo en cuenta los datos recibidos por el RESPONSABLE y el tratamiento que sea necesario llevar a cabo con los datos, debiendo adoptar el ENCARGADO las medidas del Art. 25 del RGPD. En particular y en su caso, el ENCARGADO garantiza que los datos personales que integre en sus sistemas de tratamiento, los que almacene, o los que trate en soportes automatizados, accesibles a través de Wi-Fi o de otro modo, por cuenta del RESPONSABLE, sean albergados en sus propios servidores o en, en su caso, los de sus subcontratistas, y accesibles a través de acceso a Internet propias y seguro. Los servidores o equipos de alojamiento de datos deberán ser: Seguros, conforme a las exigencias del RGPD. Localizados en la Unión Europea, salvo que el RESPONSABLE previamente haya otorgado su acuerdo y consentimiento escritos y bajo reserva que la localización fuera de la Unión Europea respete y cumpla estrictamente las condiciones previstas a este respecto en el presente acuerdo y en el RGPD. El ENCARGADO pondrá a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente acuerdo, permitiendo y contribuyendo a la realización de auditorías o inspecciones por parte del responsable o de otro auditor autorizado por dicho responsable.

2.2.5. Mantener actualizado y por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE que contenga:

1. El nombre y los datos de contacto del ENCARGADO y de este RESPONSABLE y en su caso del representante del responsable o del encargado y del DELEGADO DE PROTECCIÓN DE DATOS.

2. Las categorías de tratamientos efectuados por cuenta de este RESPONSABLE.

3. Las transferencias internacionales de datos, incluyendo la identificación del tercer país destinatario de los datos, teniendo en cuenta el posible alojamiento de datos en servicios de computación en nube (cloud), adjuntando la documentación con las garantías adecuadas a que se refiere el Art. 30.2.c del RGPD.

4. Una descripción general de las medidas técnicas y organizativas de seguridad que el ENCARGADO aplica en el tratamiento de los datos.

2.2.6. Si el ENCARGADO debe, por obligación establecida en las leyes, transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará por escrito, de forma previa y pormenorizada, a EL RESPONSABLE de esa exigencia legal, salvo que tal Derecho lo prohíba por razones de interés público.

2.2.7. En caso de que el ENCARGADO DEL TRATAMIENTO decida subcontratar todo o parte de este servicio, debe disponer de autorización previa por escrito del RESPONSABLE DEL TRATAMIENTO. Una vez autorizada la subcontratación, el SUBENCARGADO del tratamiento deberá estar sujeto a las mismas condiciones y a la misma forma escrita que el ENCARGADO mantiene con el RESPONSABLE, respondiendo el ENCARGADO frente al RESPONSABLE en caso de incumplimiento del SUBENCARGADO, debiendo celebrar acuerdo por escrito entre el ENCARGADO y el SUBENCARGADO.

2.2.8. Comunicar al RESPONSABLE cualquier solicitud escrita que se refiera a los derechos de los interesados, que por cualquier medio pueda recibir el ENCARGADO DEL TRATAMIENTO sobre los datos sometidos a tratamiento.

2.2.9. Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los Art. 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del ENCARGADO. El ENCARGADO notificará a EL RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, con toda la información relevante para la documentación y comunicación de la quiebra. No será obligatoria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente:

1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

2. El nombre y los datos de contacto del delegado de protección de datos del ENCARGADO o de otra persona de contacto del ENCARGADO en caso de necesidad de más información.

3. Descripción de las posibles consecuencias para los interesados de la violación de la seguridad de los datos personales.

4. Descripción de las medidas adoptadas o propuestas para paliar o resolver la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Será EL RESPONSABLE, quien proceda, en su caso, a la comunicación de las violaciones de la seguridad de los datos a la Agencia de Protección de Datos y a las personas afectadas.

2.2.10. Designar un delegado de protección de datos, en caso de obligación por la normativa vigente, y comunicar su identidad y datos de contacto al RESPONSABLE.

2.2.11. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser devueltos al RESPONSABLE, a menos que exista alguna previsión legal que exija su conservación. Los datos deberán ser devueltos en la misma forma en que fueron obtenidos y dentro del plazo de dos meses desde la finalización efectiva del servicio, debiendo el RESPONSABLE no dificultar su recepción. Siempre que pudieran derivarse responsabilidades entre el RESPONSABLE y el ENCARGADO, este podrá conservar debidamente bloqueados los datos.

3. Obligaciones del RESPONSABLE

El RESPONSABLE se obliga a facilitar datos personales obtenidos de forma lícita, transparente e informada. Garantiza a los interesados los derechos de protección de datos que les asisten. Dispone de una base jurídica para el tratamiento, cumpliendo con las condiciones del consentimiento en caso necesario, e informará al ENCARGADO en caso de transmitir categorías especiales de datos del Art. 9 del RGPD. El RESPONSABLE responderá de los daños y perjuicios causados al interesado en caso en que la operación de tratamiento en que haya participado no haya cumplido con el RGPD, en virtud de lo establecido en el Art. 82.2 RGPD. Estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. Cuando más de un responsable o encargado del tratamiento o solamente un responsable y un encargado hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento, todos ellos serán considerados responsables de todos los daños y perjuicios, en virtud del Art. 82.4 RGPD.