I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE ADMINISTRACIÓN LOCAL Y DIGITALIZACIÓN

AGENCIA PARA LA ADMINISTRACIÓN DIGITAL DE LA COMUNIDAD DE MADRID

Mediante la Resolución 436/2022, de 3 de agosto, de la Consejera-Delegada de la Agencia para la Administración Digital, se autorizó el encargo a la empresa Tecnologías y Servicios Agrarios, S. A., S. M. E., M. P. (TRAGSATEC), para la ejecución de actuaciones de apoyo administrativo y técnico a la gestión, tramitación y seguimiento de los contratos competencia de Madrid Digital.

Detectados en la mencionada Resolución errores materiales y de hecho que resulta este último de la propia Resolución y demás documentos que obran en el expediente y que afecta a su cláusula novena, “Duración del encargo”, cuya redacción en concreto ha recogido como inicio del plazo de ejecución del encargo una fecha que no resulta factible a la vista del desglose del importe presupuestado para la financiación de este encargo, conforme al cual solo se van a financiar dos meses del presente ejercicio, que se corresponden con los últimos del año, es preciso proceder a su rectificación.

Por lo que a los errores materiales y/o tipográficos se refiere, los tres detectados afectan, respectivamente, al título de la Resolución, que está incompleto, al título publicado de la Resolución en el sumario del BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID número 200, de 23 de agosto, y a la omisión con la publicación de la Resolución de sus Anexos.

En su virtud, de conformidad con lo dispuesto en el artículo 109.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en el artículo 10.ocho.2 de la Ley 7/2005, de 23 de diciembre, de Medidas Fiscales y Administrativas,

RESUELVO

Primero

Rectificar el error detectado en el título de la Resolución 436/2022, de 3 de agosto, de la Consejera-Delegada de la Agencia para la Administración Digital, por la que se autoriza el encargo a la empresa Tecnologías y Servicios Agrarios, S. A., S. M. E., M. P. (TRAGSATEC), en los siguientes términos:

Donde dice:

“Resolución 436/2022, de la Consejera-Delegada de la Agencia para la Administración Digital de la Comunidad de Madrid, por la que se autoriza el encargo a la empresa Tecnologías y Servicios Agrarios, S. A., S. M. E., M. P. (TRAGSATEC), para da”.

Debe decir:

“Resolución 436/2022, de la Consejera-Delegada de la Agencia para la Administración Digital de la Comunidad de Madrid, por la que se autoriza el encargo a la empresa Tecnologías y Servicios Agrarios, S. A., S. M. E., M. P. (TRAGSATEC), para la ejecución de actuaciones de apoyo administrativo y técnico a la gestión, tramitación y seguimiento de los contratos competencia de Madrid Digital”.

Segundo

Solicitar la corrección del error detectado en el sumario del BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID número 200, de 23 de agosto, en los siguientes términos:

Donde dice:

«Resolución de 3 de agosto de 2022, de la Agencia para la Administración Digital de la Comunidad de Madrid, por la que se dispone la publicación en los boletines oficiales y en el “perfil del contratante” de la formalización del encargo para la ejecución de actuaciones de apoyo administrativo y técnico a la gestión, tramitación y seguimiento de los contratos competencia de Madrid Digital. ECON/000169/2022».

Debe decir:

“Resolución 436/2022, de 3 de agosto, de la Consejera-Delegada de la Agencia para la Administración Digital de la Comunidad de Madrid, por la que se autoriza el encargo a la empresa Tecnologías y Servicios Agrarios, S. A., S. M. E., M. P. (TRAGSATEC), para la ejecución de actuaciones de apoyo administrativo y técnico a la gestión, tramitación y seguimiento de los contratos competencia de Madrid Digital”.

Tercero

Rectificar el error advertido en el primer párrafo de la cláusula novena, “Duración del encargo”, de la Resolución 436/2022, de 3 de agosto, en los siguientes términos:

Donde dice:

“El plazo de ejecución será desde el día siguiente a la notificación de la autorización del encargo y finalizará a los 24 meses de la misma”.

Debe decir:

“El plazo de ejecución será desde el día 1 de noviembre de 2022 y finalizará a los 24 meses de la misma”.

Cuarto

Corregir el error por omisión de los Anexos de la Resolución 436/2022, de 3 de agosto (BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID número 200, de 23 de agosto de 2022), que no fueron publicados con la citada Resolución y que se adjuntan como Anexos I, II y III a esta Resolución.

Quinto

Publicar esta Resolución en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.

Madrid, a 9 de septiembre de 2022.—La Consejera-Delegada de la Agencia para la Administración Digital de la Comunidad de Madrid, Elena Liria Fernández.

ANEXO I

ACTIVIDADES OBJETO DE ENCARGO

Las actividades objeto del Encargo se materializarán en las actuaciones que se mencionan a continuación, que se desarrollarán todas ellas de acuerdo con los criterios que, desde Madrid Digital, se comunique al Jefe de proyecto de TRAGSATEC.

I. Coordinación y seguimiento de los trabajos

El correcto desarrollo de los trabajos previstos en el encargo requiere de una serie de actuaciones que TRAGSATEC deberá llevar a cabo. En concreto:

— Seguimiento y control del estado de tramitación de los expedientes de contratación competencia de Madrid Digital.

— Implementación de controles de calidad y elaboración de otros instrumentos o manuales técnicos de apoyo a la gestión encargada.

— Coordinación de sus equipos y sus actuaciones técnicas.

— Realización de informes en relación al desarrollo general del encargo, incluidas operaciones aritméticas necesarias con listados en plantilla Excel en los que se relacionen los expedientes.

— Cualquier otra actuación que se considere necesaria para la correcta ejecución de los trabajos definidos en los apartados anteriores.

II. Gestión integral (documental y procedimental) en todas sus fases (preparación, tramitación y ejecución) de los contratos competencia de Madrid Digital, excepto contratos menores y acuerdos marco

El encargo incluirá el apoyo, administrativo o técnico, según proceda, a la elaboración de los documentos y a la realización de las actividades que resulten preceptivos en función del tipo de contrato de que se trate y que se indican a continuación a modo enunciativo y no limitativo:

— Elaboración de la documentación preparatoria del expediente (informe justificativo de la necesidad del contrato, informe de insuficiencia o falta de adecuación de medios, propuestas de contratación, pliego prescripciones técnicas, resoluciones, …).

— Redacción del Pliego de Cláusulas Administrativas Particulares.

— Gestión, justificación y seguimiento de la publicación de los anuncios por los que se da a conocer los contratos que, estando sujetos a regulación armonizada, se ha planificado adjudicar en un plazo determinado.

— Elaboración y seguimiento de las invitaciones a presentar ofertas.

— Gestión, justificación y seguimiento de la publicación de los anuncios de convocatoria en el Portal de Contratación de la Comunidad de Madrid, en el “perfil del contratante”, en el “Diario Oficial de la Unión Europea”, “Boletín Oficial del Estado” O BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID, en su caso.

— Examen de la documentación presentada y, si procede, formulación y seguimiento de las subsanaciones que procedan.

— Apoyo a la Mesa de Contratación a lo largo de sus sucesivas reuniones con realización de cuantas actuaciones sean necesarias para la adecuada ejecución de las funciones de este órgano.

— Elaboración y seguimiento de la resolución de adjudicación.

— Elaboración y seguimiento de los requerimientos a las propuestas como adjudicatarias para que aporten documentación (tributos, pago de anuncio y garantía definitiva, además de cualquier otra documentación que así se indique en pliegos).

— Gestión, justificación y seguimiento de la publicación de la adjudicación.

— Elaboración y seguimiento de las notificaciones de adjudicación a los adjudicatarios y de las notificaciones de información del resultado a los licitadores no adjudicatarios.

— Elaboración y seguimiento de la formalización del contrato de adjudicación y de su publicación donde proceda.

— Elaboración de las adendas de modificación y prórroga de los contratos tramitados y realización y seguimiento de cuantas actuaciones estén relacionadas con su aprobación.

— Gestión, justificación y seguimiento de la inscripción de los contratos perfeccionados en el Registro de Contratos de la Comunidad de Madrid.

— Custodia, seguimiento y cancelación de las garantías que se constituyan.

— Tramitación y seguimiento de los recursos que se interpongan en relación con los expedientes de contratación sometidos a licitación.

— Cualquier actuación que se considere necesaria para la correcta ejecución de los trabajos definidos en los apartados anteriores.

Entregable:

Informe de seguimiento de estado de los trabajos realizados en las que se indiquen las principales magnitudes realizadas.

Los informes de seguimiento contendrán información sobre la actividad del equipo de trabajo y sobre la situación de cada una de las tareas y actuaciones realizadas por TRAGSATEC en el período que abarque el informe, así como los recursos utilizados y todas aquellas incidencias observadas.

ANEXO III

TRATAMIENTO DE DATOS PERSONALES

Primera

Responsable y encargado del tratamiento

Madrid Digital tendrá la consideración de Responsable del tratamiento y TRAGSATEC, la de Encargado del tratamiento, conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, y en el resto de normativa vigente en la materia.

En consecuencia, el acceso a datos de carácter personal en el marco de este encargo se realiza con el único fin de dar cumplimiento al objeto del mismo y no se considerará como una cesión o comunicación de datos.

Segunda

Definiciones

Los términos específicos en materia de protección de datos serán interpretados conforme a las definiciones establecidas en el artículo 4 del RGPD.

Tercera

Objeto del encargo de tratamiento

Desde el día siguiente a la notificación de la autorización del encargo las cláusulas recogidas en este Anexo serán vinculantes y la entidad TRAGSATEC, Encargada del tratamiento, quedará habilitada para tratar, por cuenta de Madrid Digital, Responsable del tratamiento, los datos de carácter personal necesarios para desarrollar, en colaboración con la misma, actuaciones de apoyo administrativo y técnico a la gestión, tramitación y seguimiento de los contratos competencia de Madrid Digital.

El tratamiento de los datos personales comprenderá:

— Recogida.

— Registro.

— Estructuración.

— Modificación.

— Conservación.

— Extracción.

— Consulta.

— Interconexión.

— Cotejo.

— Comunicación.

— Cualquier otro que requiera el objeto del encargo que se suscribe.

Interesados: personas físicas representantes y de contacto; personas físicas contratistas; personas físicas vinculadas con el contratista por una relación laboral o de servicios y subcontratadas.

Datos personales del tratamiento a los que se puede acceder:

— Datos de carácter identificativo.

— Detalles de empleo.

— Datos académicos y profesionales.

— Datos económicos, financieros y de seguros.

— Datos especialmente protegidos.

Cuarta

Duración

El tratamiento de los datos personales de este encargo tendrá una duración coincidente con el período de vigencia del encargo suscrito, sin perjuicio de las obligaciones que, conforme a este clausulado, hayan de extenderse más allá de dicho período.

Una vez finalice la prestación, conforme a las instrucciones que el Responsable consigne por escrito al Encargado de tratamiento, este dejará de tener acceso a los datos personales tratados durante la ejecución de los trabajos y ubicados en los servidores del Responsable. En ningún caso estos datos personales se trasladarán a los servidores del Encargado.

Quinta

Deber de confidencialidad

El Encargado del tratamiento se obliga a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el Responsable del tratamiento a efectos de dar cumplimiento al objeto del encargo.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este encargo, en especial la información y datos personales a los que el Encargado haya accedido o acceda durante su ejecución.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud de este encargo durante la vigencia del mismo, así como de forma indefinida tras su finalización, obligándose a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Restringir el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de las tareas acordadas.

e) No utilizar la información o fragmentos de esta para fines distintos de la ejecución de este encargo.

f) Cumplir con todos los términos fijados y muy especialmente aquellos relativos a las cláusulas sobre confidencialidad, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios, subencargados, etcétera.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes, incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente.

El Encargado será responsable de que su personal, colaboradores, voluntarios y, en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del Responsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el Encargado, entendiéndose circunscritas estas obligaciones tanto al ámbito interno de la entidad como al ámbito externo de la misma.

El Encargado garantizará que las personas autorizadas para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y cumplir con las medidas de seguridad correspondientes. Por tanto, realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones, así como el cumplimiento de las medidas de seguridad correspondientes, incluidas las que consten en los documentos de seguridad de las dependencias de Madrid Digital en las que, en su caso, hubieran de desarrollar su trabajo.

A estos efectos, el Encargado se compromete igualmente a llevar un listado del personal/personas autorizadas para tratar los datos personales, que estará en todo momento a disposición del Responsable.

Madrid Digital se reserva el derecho al ejercicio de las acciones legales oportunas en caso de que, bajo su criterio, se produzca un incumplimiento de dichos compromisos.

El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de las obligaciones anteriormente señaladas.

Sexta

Obligaciones del Encargado del tratamiento

El Encargado del tratamiento asume, junto al resto de las indicadas, las siguientes obligaciones:

a) Acceder, utilizar y destinar los datos personales objeto de tratamiento, o los que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del Responsable del tratamiento conforme al contenido de este encargo. Si el Encargado considera que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, informará inmediatamente al Responsable.

c) Facilitar, en el momento de la recogida de los datos, la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el Responsable antes del inicio de la recogida de los datos.

d) Asumir la condición de Responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del encargo, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubiera incurrido personalmente.

e) No permitir el acceso a los datos de carácter personal responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para el desarrollo y correcto cumplimiento del objeto del encargo suscrito.

f) No revelar, transferir, ceder, difundir o de cualquier otra forma comunicar los datos de carácter personal responsabilidad del Responsable a ningún tercero, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, salvo que exista autorización o instrucción previa del Responsable, que deberá constar, en todo caso, por escrito.

A estos efectos, el Encargado podrá comunicar los datos a otros Encargados del tratamiento del mismo Responsable, de acuerdo con las instrucciones de dicho Responsable. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos concretos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

g) Tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de subencargado/s autorizado/s conforme a lo establecido en el encargo o demás documentos convencionales que pudieran adicionarse o complementar al mismo, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

En el caso de que por causa de Derecho nacional o de la Unión Europea el Encargado se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará por escrito al Responsable de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Responsable del tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.

h) Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD y en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural, así como observar y acordar las medidas técnicas y organizativas de seguridad, necesarias o convenientes para asegurar la confidencialidad, secreto, disponibilidad, integridad de los datos personales a los que tenga acceso.

i) Comunicar a Madrid Digital, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener y que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la realización del encargo, concretando incluso qué interesados sufrieron una pérdida de confidencialidad, todo ello de conformidad con lo dispuesto en el artículo 33.3 RGPD.

j) Garantizar, a lo largo de toda la vigencia del encargo, la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales e informarlas previamente de las medidas de seguridad correspondientes. En especial, y de conformidad con lo previsto en el artículo 28.3.b) RGPD, garantizará que las personas autorizadas para tratar los datos personales objeto del presente encargo se hayan comprometido a respetar la confidencialidad, mediante la cumplimentación de la oportuna declaración de confidencialidad. Asimismo, deberá informarse al personal del deber de confidencialidad previsto en el artículo 5 LOPD, con advertencia expresa de las infracciones y delitos en los que puede incurrirse en caso de su no observancia.

k) En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el Encargado mantendrá un registro, incluso en formato electrónico, de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga la información exigida por el artículo 30.2 del RGPD.

l) Asistir al Responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en los términos dispuestos en la cláusula undécima del presente acuerdo, y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado.

m) Colaborar con el Responsable en el cumplimiento de sus obligaciones en materia de medidas de seguridad, comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.

n) Disponer de evidencias que demuestren el cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Responsable, a requerimiento de este. Asimismo, durante la vigencia del contrato, pondrá a disposición del Responsable toda información, certificaciones y auditorías realizadas en cada momento. Igualmente, proporcionará al Responsable cuantos datos o documentos le sean requeridos en los controles, auditorías o inspecciones que realice en cualquier momento el propio Responsable del tratamiento u otro auditor autorizado por este.

o) En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al Responsable, así como cumplir con el resto de requerimientos establecidos en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD. En los mismos términos se procederá en caso de que la designación haya sido voluntaria.

p) Cuando los afectados ejerzan los derechos establecidos en los artículos 15 a 22 del RGPD ante el Encargado, este lo comunicará por correo electrónico al Responsable de forma inmediata, trasladando, en su caso, la información que pueda ser relevante para resolver la solicitud.

q) Mantener a disposición del Responsable del tratamiento la documentación acreditativa del cumplimiento de sus obligaciones.

r) Respetar todas las obligaciones que pudieran corresponderle como Encargado del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

Séptima

Obligaciones del Responsable del tratamiento

Madrid Digital, como responsable del tratamiento, se obliga a:

a) Cumplir con todas sus obligaciones en materia de protección de datos como Responsable del tratamiento y ser consciente de que los términos de este encargo en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al Responsable del Tratamiento como tal.

b) Facilitar por escrito al Encargado las instrucciones necesarias para el tratamiento de los datos personales y, específicamente, las relativas a las medidas técnicas y organizativas a aplicar y a la destrucción o devolución de los datos.

c) Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por parte del Encargado del tratamiento.

d) Dar respuesta, a través de los procedimientos legalmente establecidos, al interesado respecto a sus solicitudes de ejercicio de sus derechos de acceso, rectificación, oposición, supresión, limitación al tratamiento y portabilidad mediante comunicación, acompañando copia del Documento Nacional de Identidad o documento equivalente, además de cualquier otra documentación que considere oportuna, a la dirección de correo electrónico protecciondatosmadriddigital@madrid.org , sin perjuicio de que para consultas de carácter genérico o que no requieran acreditar la identidad puedan dirigirse también al mismo correo electrónico.

e) En su caso, notificar las violaciones de seguridad a la Autoridad de Control y/o al interesado conforme a lo establecido en la normativa de protección de datos y, en cualquier otro caso, cuando así sea de aplicación conforme a lo establecido en la normativa vigente.

f) Elaborar la evaluación de impacto cuando proceda.

g) Efectuar las consultas a la Autoridad de control, cuando proceda.

h) Cualquier otra recogida en la legislación en vigor y aplicable a los Responsables de tratamiento de datos personales.

Octava

Medidas de seguridad y violación de la seguridad

El Encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluirá, en su caso, entre otras:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas empleadas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, el Encargado tendrá en cuenta los riesgos que presente el tratamiento de datos, en particular, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de los datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

El Encargado del tratamiento permitirá y contribuirá a la realización de controles, auditorías e inspecciones por parte del Responsable del tratamiento o de otro auditor autorizado por este.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del encargo, el Encargado garantiza la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos del encargo.

Novena

Subencargo del tratamiento

Con carácter general el Encargado no podrá subencargar las prestaciones que formen parte del objeto de este encargo y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para su normal funcionamiento.

Sin perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar todo o parte de los servicios encargados por el Responsable en los que intervenga el tratamiento de datos personales, deberá comunicarlo por escrito al Responsable, con una antelación de un mes, indicando los tratamientos que se pretende subencargar e identificando de forma clara e inequívoca la empresa subencargada y sus datos de contacto.

El subencargo podrá llevarse a cabo si el Responsable lo autoriza por escrito en el mes siguiente a dicha comunicación.

En este último caso, el subencargado, que también tendrá la condición de Encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas para el Encargado del tratamiento y las instrucciones que dicte el Responsable del tratamiento.

Corresponde al Encargado del tratamiento exigir al subencargado el cumplimiento de las mismas obligaciones asumidas por él, en particular, la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas para que el tratamiento sea conforme a las disposiciones del RGPD. En cualquier caso, el Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento en lo referente al cumplimiento de las obligaciones.

El Encargado del tratamiento está obligado a informar al Responsable de cualquier cambio en la incorporación o sustitución de otros subencargados con una antelación de un mes. El Responsable podrá oponerse a dichos cambios en el mes siguiente a dicha comunicación.

Décima

Destino de los datos al finalizar el encargo

Una vez cumplido o resuelto el encargo y, en consecuencia, finalizado el encargo de tratamiento de datos, el Encargado devolverá al Responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado. No obstante, el Encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del encargo.

(03/17.716/22)