CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS

    Servicios de asesoramiento laboral, fiscal, contable y/o jurídico

    En Santa Cruz de Tenerife, a

    REUNIDOS

    De una parte, con DNI: En nombre y representación de con CIF: Y domicilio en en adelante, “Responsable del Tratamiento”.

    De otra parte, D. Antonio José Torres Padilla provisto de DNI 41954210W, que actúa en nombre y representación de Garoe Travis Consultores, S.L., con CIF B38723821, y con domicilio en Avda. Tres de Mayo, 77 - Edf.Marítimo, local oficina 10B | 38005 SC de Tenerife - Islas Canarias - España, en adelante, “Encargado del Tratamiento”.

    Ambas partes contratantes, que se reconocen recíprocamente la capacidad legal necesaria para suscribir este contrato

    EXPONEN

    I.-Que el Responsable del Tratamiento se dedica, entre otras actividades, a las propias de su objeto social.

    II.-Que entre el Responsable del Tratamiento y el Encargado del Tratamiento existe una relación mercantil de prestación de servicios referente al asesoramiento LABORAL, FISCAL, CONTABLE y JURÍDICO.

    III.-Que para la realización de dichos servicios es imprescindible y necesario que el Encargado del Tratamiento acceda a ficheros cuya titularidad es del Responsable del Tratamiento y que contienen datos de carácter personal.

    IV.- Que, en base a lo establecido en el artículo 28.3 del Reglamento General de Protección de Datos, de 27 de abril, en adelante (RGPD), con el resto de legislación vigente en materia de protección de datos, la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, el cual será conforme a las siguientes

    ESTIPULACIONES

    PRIMERA.- Objeto del contrato

    El objeto del presente contrato es regular el acceso del Encargado del Tratamiento a los datos de carácter personal responsabilidad del Responsable del Tratamiento, con objeto de la relación mercantil de prestación de servicios que une a ambas partes.

    De manera concreta el tratamiento consistirá en prestar servicios de asesoramiento




    lo cual implica, en su caso: recogida, registro, estructuración, modificación, cotejo, conservación, consulta y comunicación por transmisión, de todos aquellos datos fiscales y contables, para la realización de los trámites necesarios para la prestación del servicio. No se realizarán comunicaciones a terceros, exceptuando a las administraciones públicas competentes, salvo que el Responsable del Tratamiento lo solicite expresamente al Encargado del tratamiento, en cuyo caso, el Encargado de Tratamiento se dará por autorizado para dicha comunicación.

    SEGUNDA.- Figuras del Responsable del Tratamiento y del Encargado del Tratamiento

    A los efectos previstos en el presente contrato, se entenderá por:

    – Responsable del Tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
    – Encargado del Tratamiento: Persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio

    TERCERA.- Servicios del Encargado del Tratamiento de datos

    El Encargado del Tratamiento presta para el Responsable del Tratamiento los servicios descritos en el expositivo II. Por ello, el Responsable del Tratamiento de conformidad con lo dispuesto en el artículo 28.3 del RGPD y con el resto de legislación vigente en materia de Protección de Datos, consiente y autoriza al Encargado del Tratamiento, que acepta, para que éste realice el tratamiento de los datos comunicados a efectos de la prestación de los servicios descritos. Como consecuencia del consentimiento y autorización de acceso, todos los empleados y colaboradores del Encargado del Tratamiento, o cualquier persona física o jurídica que les sustituya en el marco de sus servicios, que tengan acceso a los datos objeto de este contrato, tendrán la consideración de Encargado del Tratamiento, conforme a lo dispuesto en el artículo 4 del RGPD

    CUARTA.- Identificación de la información afectada

    Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone a disposición del encargado de tratamiento, la información que se describe a continuación:

    • Datos de clientes y datos de proveedores (Nombre y apellidos o razón social, NIF, Dirección postal, Teléfono, Actividades económicas, Datos de ingresos y rentas)
    • Facturas
    • Datos de trabajadores: nombre y apellidos, fecha de nacimiento, NIF, afiliación a la seguridad social, y todos aquellos necesarios para la gestión de los RRHH.

    QUINTA.- Cesión de datos a empresas de prevención de riesgos laborales, seguros de convenios colectivos, mutuas, empresas de formación y asesores del Responsable del Tratamiento

    El Encargado del Tratamiento cederá los datos necesarios para la elaboración de presupuestos a diferentes empresas de prevención de riesgos laborales, así como a seguros de convenios colectivos y mutuas siempre que el Responsable del Tratamiento se lo solicite anteriormente, con la finalidad de que éste elija la propuesta que mejor se adapte a sus necesidades empresariales.

    Igualmente, el Encargado del Tratamiento podrá ceder los datos de los trabajadores del Responsable del Tratamiento a empresas externas de formación para la gestión de cursos subvencionados, siempre que el Responsable del Tratamiento se lo indique.

    SEXTA.-Cesión de datos a asesores del Responsable del Tratamiento

    El Encargado del Tratamiento podrá ceder los datos necesarios para la elaboración de los servicios contables, fiscales, auditoría de cuentas, etc. a otros asesores del Responsable del Tratamiento, siempre que éste último se lo indique, para una mejor comunicación entre los asesores. No obstante, entre los asesores del Responsable del Tratamiento y el propio Responsable del Tratamiento, deberá existir un contrato de acceso a datos por cuenta de terceros. El Encargado del Tratamiento podrá cerciorarse de la existencia de dicho requisito.

    SÉPTIMA.- Forma de acceso a los datos

    El Encargado del Tratamiento y todo su personal, sólo podrá acceder a los datos de carácter personal responsabilidad del Responsable del Tratamiento, conforme a las instrucciones de éste y no los aplicará o utilizará para cualquier otro fin distinto a la prestación de los servicios descritos. Si el Encargado del Tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. El Responsable del Tratamiento facilitará el acceso a los datos, a los recursos del sistema de información que los trate o a los soportes que los contengan, al Encargado del Tratamiento, que prestará sus servicios en su propio local.
    Asimismo, el Encargado de Tratamiento deberá:

    – En su caso, en el momento de la recogida de los datos, facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.

    Se tendrá especial cuidado en lo referente a:

    – Uso del certificado digital que el Responsable del Tratamiento ha suministrado al Encargado del Tratamiento, en el caso de que así fuese, para acceder de forma automatizada a la Declaración de Trabajadores Accidentados, Hacienda Pública y Seguridad Social, y que sólo podrá utilizarse para la realización de los servicios descritos anteriormente.
    – Envío de documentación y soportes que contienen datos de carácter personal, en especial las nóminas de los trabajadores, de la comunidad de propietarios así como resto de gestiones administrativas.

    OCTAVA.- Prohibición de comunicación de datos

    El Encargado de Tratamiento y todo su personal se obliga a no comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público, excepto a la Seguridad Social, Hacienda Pública, entidades bancarias del cliente, así como a otros organismos oficiales tanto locales, autonómicos, como estatales necesarios para realizar la tramitación del servicio descrito.

    NOVENA.- Confidencialidad y deber de secreto

    El Encargado del Tratamiento se compromete a cumplir, respecto de los datos de carácter personal responsabilidad del Responsable del Tratamiento y en cualquier fase del tratamiento, con el deber de secreto que, de conformidad con lo establecido en el artículo 5.1 f) del RGPD, subsistirá aún después de finalizar la relación mercantil de prestación de servicios, así como en su caso tras la finalización por cualquier causa del presente contrato. Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas que garanticen su confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento.

    DÉCIMA. - Obligación de informar al personal

    El Encargado del Tratamiento asume la obligación de informar y formar al personal que preste los servicios contratados de las obligaciones referidas en las estipulaciones anteriores.

    DECIMOPRIMERA.- Obligaciones del Responsable del Tratamiento

    Corresponde al Responsable del Tratamiento: Entregar al encargado los datos a los que se refiere la estipulación cuarta de este documento; realizar, en su caso, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado; realizar, en su caso, las consultas previas que corresponda; velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la normativa en protección de datos por parte del encargado de tratamiento; supervisar el tratamiento, incluida, en su caso, la realización de inspecciones y auditorías al mismo.

    DECIMOSEGUNDA.- Subcontratación

    El Encargado de Tratamiento no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de treinta días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto.

    La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. Dicha subcontratación, se incluirá en el presente contrato, indicando el nombre del subencargado, servicio concertado, existencia del contrato entre el Encargado de Tratamiento y Subencargado, y verificación del cumplimiento sobre los requisitos exigidos por la normativa en Protección de Datos. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

    DECIMOTERCERA.- Medidas de seguridad de los datos

    El encargado debe adoptar todas las medidas de seguridad oportunas, de conformidad con lo establecido en el artículo 32 del RGPD. Corresponde al responsable realizar, en su caso, la evaluación de impacto o la consulta previa, para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de las personas afectadas. Así mismo, el encargado también evaluará los posibles riesgos derivados del tratamiento teniendo en cuenta los medios utilizados y otras circunstancias que puedan incidir en la seguridad. Especialmente deberá definir y dar a conocer las funciones y obligaciones sobre protección de datos a su personal, así como las consecuencias de su incumplimiento; llevará un registro de incidencias en el que se definan entre otras las medidas correctoras a aplicar en caso necesario; establecerá un control de acceso de los usuarios, manteniendo una relación actualizada de los mismos; establecerá procedimientos de identificación y autenticación por medio de control y asignación de contraseñas a los usuarios autorizados; gestionará y controlará la salida de soportes y documentos teniendo un inventario y etiquetado de los mismos, autorizando las salidas y medidas para su transporte; realizará, como mínimo semanalmente, copias de respaldo, asegurando semestralmente el procedimiento de recuperación de los mismos; establecerá, para los soportes en papel, criterios de custodia y de archivo de soportes y documentos, teniendo dispositivos de almacenamiento que impidan el acceso a personas no autorizadas y que faciliten la consulta y búsqueda por los usuarios autorizados, teniendo un mecanismo para garantizar los derechos de Acceso a datos personales; Rectificación; Supresión (derecho al olvido); Limitación del tratamiento; Portabilidad de datos; Oposición y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) de cualquier usuario. El Encargado del Tratamiento garantiza que será posible Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico y se encargará de verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

    DECIMOCUARTA.- Derecho a la portabilidad

    Una vez cumplida la presente prestación contractual, así como, en su caso, tras la finalización por cualquier causa del presente contrato y/o del contrato de prestación de servicios principal, el Encargado del Tratamiento entregará al responsable del tratamiento, si este así lo solicita, los datos que le conciernen de manera estructurada y de lectura mecánica o bien los transmitirá directamente al encargado del tratamiento que designe por escrito el Responsable del Tratamiento. , según lo dispuesto en el artículo 20 del RGPD.

    DECIMOQUINTA.- Devolución de los datos comunicados

    Una vez cumplida la prestación contractual, el Encargado del Tratamiento devolverá al Responsable del Tratamiento los datos que le hayan sido comunicados, así como cualquier documento o soporte en los que conste cualquiera de los datos de carácter personal objeto del tratamiento, incluida las copias. No obstante, no procederá la destrucción de dichos datos cuando exista una previsión legal que exija su conservación, en cuyo caso el Encargado del Tratamiento deberá proceder a la devolución de los mismos, garantizando el Responsable del Tratamiento su conservación.

    El Encargado del Tratamiento podrá conservar los datos debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento, durante el periodo de prescripción de las mismas.

    DECIMOSEXTA.- Garantías de Seguridad del Encargado del Tratamiento

    En cumplimiento de lo establecido en el artículo 28.1 del RGPD, el Responsable del Tratamiento deberá velar porque el Encargado del Tratamiento reúna las garantías de seguridad necesarias para el cumplimiento de lo dispuesto en la normativa vigente en materia de Protección de Datos. El Encargado del Tratamiento se compromete a cumplir con tales garantías, pudiendo el Responsable del Tratamiento verificar o constatar que tales garantías realmente se reúnen, realizando los controles que estime oportunos con dicha finalidad. El encargado pondrá, en su caso, a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato, así como permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable. En su caso, el Encargado del tratamiento dará apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. También dará apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

    DECIMOSÉPTIMA.- Ejercicio de los derechos establecidos legalmente ante el Encargado del Tratamiento

    En cumplimiento de lo establecido en el artículo 26 del RGPD, y resto de legislación vigente en materia de Protección de Datos, cuando los afectados ejerciten sus derechos de acceso, rectificación, supresión y resto de derechos establecidos legalmente ante el Encargado de Tratamiento, el mismo deberá dar traslado de la solicitud al Responsable del Tratamiento en el plazo máximo de tres días a contar desde la recepción de la solicitud, a fin de que sea resuelta por el Responsable del Tratamiento.

    DECIMOCTAVA.- Notificaciones de violaciones de seguridad de datos

    El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

    Si se dispone de ella se facilitará, como mínimo, la información siguiente:
    a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
    b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
    Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

    En su caso, corresponderá al responsable del tratamiento comunicar la violación de la seguridad de los datos personales a la Agencia Española de Protección de Datos.

    DECIMONOVENA. - Responsabilidad e incumplimiento

    En el caso de que el Encargado del Tratamiento incumpla las estipulaciones del presente contrato, destinando, comunicando o utilizando los datos para otra finalidad, será considerado responsable en el uso de los datos, respondiendo frente al Responsable del Fichero, los afectados o interesados y la Agencia Española de Protección de Datos del incumplimiento de las mismas y de las infracciones en que hubiera incurrido personalmente.

    VIGÉSIMA.- Información del ejercicio de derechos en materia de Protección de Datos

    De conformidad con el artículo 13 del RGPD, y resto de legislación vigente en materia de protección de datos, ambas partes son informadas de que los datos aportados para la realización de este contrato, así como los necesarios para tramitar la relación mercantil que les une, se hallan incorporados a los ficheros titularidad del Responsable del Tratamiento y del Encargado del Tratamiento según proceda, con la finalidad de cumplir con la prestación de servicios contratados. Pueden ejercer sus derechos de acceso, rectificación, oposición y resto de derechos establecidos legalmente en cualquier momento, mediante escrito, acompañado de copia de documento oficial que le identifique dirigido a los domicilios de las empresas descritos en el encabezamiento del presente contrato. En el caso de no haber obtenido satisfacción en el ejercicio de sus derechos, puede presentar reclamación ante la Autoridad de Control. Para más información sobre ejercicio de derechos y Protección de Datos se deberá de disponer dicha información en su página web www.garoetravis.net. Puede usted ponerse en contacto con la Agencia Española de Protección de Datos a través de la web www.agpd.es

    VIGESIMOPRIMERA.- Duración del contrato

    El presente contrato entrará en vigor desde la fecha de su firma y estará vigente hasta la fecha de terminación de la relación mercantil de prestación de servicios entre el Responsable de Tratamiento y el Encargado del Tratamiento.

    VIGESIMOSEGUNDA.- Legislación aplicable y tribunales competentes

    El presente contrato se rige por las estipulaciones del mismo y, en lo no previsto, por las normas del vigente código de comercio y demás legislación mercantil, civil y en especial en materia de Protección de Datos. En caso de controversia entre las partes, surgida de este contrato, ambas, con renuncia expresa a su propio fuero, se someten a la jurisdicción de los Tribunales y Juzgados de S/C de Tenerife.

    Y en prueba de conformidad, ambas partes firman el presente documento en dos ejemplares originales, en el lugar y fecha indicados en el encabezamiento

    El Responsable del Tratamiento:

    Conozco y acepto las condiciones sobre protección de datos. Es necesario que acepte la Política de Privacidad y Aviso Legal para poder continuar con el envío. Leer Privacidad y Legal

    El Encargado del Tratamiento:
    Antonio José Torres Padilla
    Garoe Travis Consultores, S.L.
    Firma_GaroeTravis

    Escribe debajo lo siguiente:

    captcha