Acuerdo del Equipo de Gobierno de la Universidad Del País Vasco/Euskal Herriko Unibertsitatea, de 27 de Febrero de 2019, por el que se aprueba la propuesta conjunta de la Secretaría General y de la Gerencia, para la actualización del Anexo II del Reglamento de la UPV/EHU de tratamiento de datos de carácter personal, supuesto concreto II, relativo a "Compromisos a asumir por empresas externas que realizan tratamientos de datos por cuenta de la UPV/EHU", aprobado por el Consejo de Gobierno en sesión de 10 de abril de 2008
Con fecha 27 de abril de 2016 se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD), siendo publicado en el Diario Oficial de la Unión Europea de 4 de mayo de ese año. Esta norma entró en vigor a los veinte días de su publicación en dicho Diario Oficial y será aplicable a partir del 25 de mayo de 2018, siendo obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro de la Unión Europea, todo ello de conformidad con su artículo 99.
Por su parte, el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (BOE del 30), estableció en su Disposición transitoria segunda, sobre contratos de encargado del tratamiento, que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Asimismo, indicó que durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.
Finalmente, en el BOE de 6 de diciembre de 2018, se ha publicado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, regulando entre otros, en su artículo 33 la figura de encargado del tratamiento.
Bajo el régimen legal anterior al RGPD, el consejo de gobierno aprobó, en sesión de 10 de abril de 2008, el reglamento de la UPV/EHU de tratamiento de datos de carácter personal, siendo publicado en el BOPV de 29 de septiembre de 2008, texto que ha venido siendo el referente para el personal de la Universidad que realiza tratamientos de datos de carácter personal a la vista de los anexos de esta normativa.
La disposición final del reglamento de la UPV/EHU establece que "Este Reglamento será periódicamente actualizado en función de los nuevos requisitos normativos que puedan ser exigidos y los supuestos susceptibles de regulación que se vayan detectando. Las modificaciones e incorporaciones de anexos podrán ser realizadas mediante acuerdo adoptado por la mayoría de los miembros del Consejo de Dirección de la UPV/EHU, a propuesta conjunta de la Secretaría General y la Gerencia….".
En el marco legal expuesto, resulta por consiguiente oportuno proceder a la modificación del supuesto concreto de tratamiento II (SC. II) del anexo II del reglamento de la UPV/EHU de tratamiento de datos de carácter personal, relativo a “compromisos a asumir por empresas externas que realizan tratamientos de datos por cuenta de la UPV/EHU”, de modo que, sin perjuicio de la previsión del Real Decreto-ley 5/2018, antes señalada, el personal y los distintos servicios y estructuras de la Universidad puedan seguir contando con un referente a la hora de llevar a cabo tratamientos de datos de carácter personal que se adecúe a las nuevas exigencias legales.
Por ello, el equipo de gobierno de la UPV/EHU, en sesión de 27 de febrero de 2019, de conformidad con la propuesta conjunta del secretario general y de la gerente, adopta el siguiente
ACUERDO
PRIMERO. - Aprobar la actualización del anexo II del reglamento de la UPV/EHU de tratamiento de datos de carácter personal, supuesto concreto II, relativo a "compromisos a asumir por empresas externas que realizan tratamientos de datos por cuenta de la UPV/EHU", el cual queda redactado en los términos del anexo del presente acuerdo.
SEGUNDO.- Encomendar al Secretario General la difusión del anexo objeto de actualización en la página web http://www.ehu.eus/babestu, así como la adopción de cuantos actos y resoluciones resulten necesarios para la plena efectividad del presente acuerdo, dando cuenta al equipo de gobierno.
Firmas
LA RECTORA DE LA UPV/EHU - Nekane Balluerka Lasa
EL SECRETARIO GENERAL - Pedro Iriondo Bengoa
ANEXO
El supuesto concreto de tratamiento SC.II. "Compromisos a asumir por empresas externas que realizan tratamientos de datos por cuenta de la UPV/EHU", recogido en el anexo II del reglamento de la UPV/EHU de tratamiento de datos de carácter personal, aprobado en sesión del Consejo de Gobierno de 10 de abril de 2008 (BOPV de 29 de septiembre) queda redactado del siguiente modo:
SC II. COMPROMISOS A ASUMIR POR TERCEROS QUE REALIZAN TRATAMIENTOS DE DATOS POR CUENTA DE LA UPV/EHU
La UPV/EHU establece relaciones con múltiples personas, físicas y jurídicas, con el objeto de dar respuesta a sus propias necesidades, así como para el cumplimiento de las funciones y competencias que le atribuye el ordenamiento jurídico, a cuyo efecto deben acceder a datos de carácter personal cuya responsabilidad corresponde a la UPV/EHU. En consecuencia, la Universidad debe asegurarse que en el contrato, convenio o acto jurídico en el que se formalice la relación se establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento de datos y categorías de personas interesadas, así como las obligaciones y derechos de la Universidad como responsable del tratamiento.
La siguiente cláusula se incluirá en los citados documentos que se formalicen con terceros que deban acceder a datos de carácter personal responsabilidad de la UPV/EHU en condición de encargados del tratamiento:
"El tratamiento de datos de carácter personal de los que sea responsable la UPV/EHU por parte de (nombre de la persona, física o jurídica, que trate datos de carácter personal por cuenta de la Universidad y suscriba con la misma el contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes), como encargado de dicho tratamiento, se llevará a cabo de conformidad con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y restante normativa aplicable en la materia, sin que se considere comunicación de datos de carácter personal.
A estos efectos, las partes firmantes suscriben el anexo (I, II, III, …) del presente (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes), en el cual se establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y del encargado del tratamiento, así como las demás circunstancias exigidas en el artículo 28.3 del Reglamento (UE) 2016/679 y restantes normas aplicables. El anexo (I, II, III …) forma parte inseparable del presente (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes)."
El documento en el que la UPV/EHU y la persona, física o jurídica, que trate datos de carácter personal por cuenta de la Universidad y suscriba con la misma el contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes, en el cual se establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento de datos de carácter personal, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable y del encargado del tratamiento, así como las demás circunstancias exigidas en el artículo 28.3 del Reglamento (UE) 2016/679 y restantes normas aplicables figurará como anexo inseparable al contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes, y tendrá el siguiente contenido: "
- Para el cumplimiento del objeto del (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes) la UPV/EHU facilitará a ----------------------------- el acceso a aquellos datos de carácter personal que resulten necesarios, y ésta tratará dichos datos con el fin exclusivo de dar cumplimiento a los objetivos del convenio.
- En virtud del presente documento, la UPV/EHU, como responsable del tratamiento, habilita a ----------------------------, entidad encargada del tratamiento, para tratar los datos de carácter personal necesarios para la realización del objeto del (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes)
- El tratamiento que llevará a cabo (persona, física o jurídica, que trate datos de carácter personal por cuenta de la Universidad) consistirá en ……………………………, así como las acciones que resulten necesarias para resolver las incidencias que pudieran surgir en relación al objeto del (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes).
- Los datos que facilitará la UPV/EHU a (persona, física o jurídica, que trate datos de carácter personal por cuenta de la Universidad) son los siguientes:
- -----------------------.
- -----------------------.
- Una vez finalizada la realización del objeto del (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes), (persona, física o jurídica, que trate datos de carácter personal por cuenta de la Universidad) destruirá o devolverá (elegir una opción) los datos a la UPV/EHU. No obstante, podrá conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades en relación con la ejecución del objeto del (contrato, convenio o acto jurídico en el que se formalice la relación entre ambas partes).
- La (persona, física o jurídica, que trate datos de carácter personal por cuenta de la Universidad), como encargada del tratamiento se obliga a:
- a. Tratar los datos personales objeto del tratamiento sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
- b. Tratar los datos conforme a las instrucciones que reciba del responsable del tratamiento.
- c. Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable que contenga, en su caso, las transferencias de datos personales a un tercer país u organización internacional y la descripción general de las medidas técnicas y organizativas de seguridad.
- d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
- e. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable con un plazo mínimo de una semana de antelación, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo indicado. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidos en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable en lo referente al cumplimiento de las obligaciones.
- f. Observar en todo momento el deber de secreto sobre todos los datos recibidos de la UPV/EHU, obligándose a no revelar, transferir, ceder o comunicar de cualquier forma los datos a terceras personas, obligación que se mantendrá aún finalizada su relación con ésta.
- g. Garantizar que las personas autorizadas para tratar los datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medias de seguridad correspondientes.
- h. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión y oposición, de limitación del tratamiento, de portabilidad de datos y de no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles). Cuando las personas afectadas ejerzan los mencionados derechos ante el encargado del tratamiento, éste deberá comunicarlo por correo electrónico y de forma inmediata a la UPV/EHU junto, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
- i. Facilitar a los agentes con los que intermedie en el momento de la recogida de los datos, si fuera el caso, información relativa a los tratamientos que se van a realizar.
- j. Notificar a la UPV/EHU y a la Autoridad de Protección de Datos las violaciones de la seguridad de los datos que se hayan producido sin dilación indebida, juntamente con toda la información relevante sobre la incidencia (descripción de la violación, número aproximado de registros afectados, categorías e interesados, datos del Delegado de Protección de Datos que pueda facilitar más información, posibles consecuencias de la violación de seguridad y descripción de las medidas adoptadas o propuestas para mitigar los efectos negativos).
- k. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
- l. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorias o las inspecciones que realicen el responsable u otro auditor autorizado por él.
- m. Implantar las medidas de seguridad necesarias para la protección de los datos que se encuentren en vigor o puedan estarlo durante la vigencia del contrato y, en todo caso, establecer mecanismos para garantizar la confidencialidad, integridad, disponibilidad y resilencia de los sistemas y servicios de tratamiento; restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; verificar, evaluar y valorar, de forma regular la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento y seudonimizar y cifrar los datos personales, en su caso, todo ello en el marco de la política de seguridad de la información de la UPV/EHU vigente (BOPV de 14 de mayo de 2013), o la que en el futuro la suceda.
- n. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
- La UPV/EHU conoce quedar obligada al respeto de los requerimientos y obligaciones que le correspondan en calidad de Responsable de tratamiento, de conformidad con lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y restante normativa aplicable en la materia. Por ello, la UPV/EHU:
- a. Pondrá a disposición del encargado del tratamiento los datos a los que se refiere la cláusula 4 de este contrato.
- b. Realizará una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
- c. Velará, de forma previa y durante todo el tratamiento, por el cumplimiento de las normativas vigentes en materia de protección de datos por parte del encargado.
- d. Supervisará el tratamiento, incluida la realización de inspecciones y auditorias."