ACUERDO DE CORRESPONSABILIDAD

Las partes se reconocen, en el concepto en que respectivamente intervienen, la capacidad legal necesaria para la suscripción del presente acuerdo de corresponsabilidad y, en su virtud,

MANIFIESTAN

  • Que las partes forman parte del denominado “GRUPO IRIS” dedicado a la prestación de servicios de limpieza, mantenimiento y jardinería; así como de restauración colectiva.
  • Que, en este contexto, las partes han acordado realizar de forma conjunta el tratamiento de los datos de carácter personal de los candidatos (solicitantes de empleo) que reciben a través de las páginas web www.serclym.es y www.limpiezasiris.es, correos corporativos de las tres entidades así como físicamente en oficinas centrales, en tanto los Currículums Vitae (en adelante, “CV”) pueden ser de utilidad para las tres empresas en interés del interesado. 
  1. Que para la correcta gestión de los CV las partes tienen establecido un protocolo interno “IT03-PC-03-Protocolo CV”.
  • Que, se establecen como emails de contacto entre las partes los siguientes:
  • Corresponsable 1: SERCLYM S.L., protecciondedatos@serclym.es 
  • Corresponsable 2: LIMPIEZAS IRIS S.A., protecciondedatos@limpiezasiris.es 
  • Corresponsable 3: LIMPIEZAS CIBELES S.L., protecciondedatos@limpiezascibeles.es 
  • Que, en cumplimiento del artículo 26 del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”) y el artículo 29 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”), es necesario formalizar el presente Acuerdo de corresponsabilidad, dado que las partes firmantes determinarán de forma conjunta los objetivos y medios del tratamiento. Todo ello de conformidad con las siguientes

 

CLÁUSULAS

 

  • DEFINICIONES:

 

En el presente acuerdo los siguientes términos tendrán el siguiente significado:

  • Corresponsables del tratamiento: Aquellas personas físicas o jurídicas que determinan conjuntamente los objetivos y los medios del tratamiento.
  • Interesados: persona física titular de los datos de carácter personal tratados.
  • Datos de carácter personal: Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
  • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
  • Responsable del tratamiento: La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
  • Transferencia internacional de datos: Transferencia de los datos de carácter personal de los interesados a un tercer país u organización internacional.
  • Normativa de protección de datos: Normativa aplicable en materia de protección de datos que se encuentre vigente.
  • Violación de seguridad: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
  • Autoridad de control: Autoridad pública independiente establecida por un Estado Miembro de la Unión Europea; concretamente, para el presente contrato, la Agencia Española de Protección de Datos (AEPD).

 

  • OBJETO:

 

El presente acuerdo tiene por objeto determinar de modo transparente y de mutuo acuerdo las responsabilidades en materia de protección de datos que deberán asumir las parte firmantes del presente acuerdo, reconociéndose mutuamente como Corresponsables del Tratamiento.

 

  • DURACIÓN:

 

La duración del presente acuerdo no está limitada en el tiempo. En caso de que se modifiquen las circunstancias del tratamiento, se realizará un nuevo acuerdo.

 

  • OBLIGACIONES DE LOS CORRESPONSABLES:

 

Los Corresponsables del tratamiento y todo su personal, como consecuencia de los tratamientos que se efectúen sobre los datos de carácter personal de los interesados, se obligan a:

  1. Proporcionar a los interesados, en el momento en que se obtengan sus datos de carácter personal, la siguiente información:
  2. Identidad y los datos de contacto del responsable del tratamiento y del Corresponsable del tratamiento, y en su caso, de los respectivos representantes.
  3. Los datos de contacto del delegado de protección de datos, en su caso.
  4. Las finalidades del tratamiento a que se destinan los datos personales de los interesados.
  5. La base de legitimación de cada una de las finalidades del tratamiento.
  6. En aquellos supuestos en que el tratamiento tenga como base de legitimación el interés legítimo, se deberá establecer una descripción del mismo.
  7. Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
  8. En su caso, la intención de efectuar una transferencia internacional de datos de carácter personal, así como, la respectiva garantía para efectuar la misma, conforme la normativa de protección de datos.
  9. El plazo de conservación de los datos de carácter personal, o cuando no sea posible, los criterios utilizados para determinar dicho plazo.
  10. La existencia del derecho a solicitar el acceso, rectificación, supresión, limitación y oposición al tratamiento de sus datos de carácter personal, así como, el derecho a que se efectúe una portabilidad de los mismos, y en su caso, el derecho a no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles.
  11. Cuando la base de legitimación consista en el consentimiento dado por el interesado, se deberá informar sobre la posibilidad que asiste al interesado de retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada.
  12. El derecho del interesado a presentar una reclamación ante la autoridad de control.
  13. Cuando la comunicación de datos de carácter personal por los interesados sea un requisito legal o contractual, o un requisito necesario para suscribir un contrato, será necesario informar si está obligado o no a facilitar los mismos, así como las posibles consecuencias de no comunicarlos.
  14. En su caso, la existencia de decisiones automatizadas, incluida la elaboración de perfiles, así como, la lógica aplicada y las consecuencias previstas de dicho tratamiento.
  15. En aquellos supuestos en que se pretenda efectuar un tratamiento ulterior de los datos personales para un fin distinto a aquel para el cual se recogieron, se deberá proporcionar a los interesados, antes de que se inicie dicho tratamiento, información relativa a la nueva finalidad y cualquier información adicional pertinente a tenor de los apartados “h, i, j, k, l, m”.
  16. Asistirse mutuamente en aquellos supuestos en que los interesados ejerzan sus derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y, en su caso, a no ser objeto de decisiones individualizadas automatizadas. En tal supuesto, se deberá tener en cuenta lo siguiente:
  17. Los interesados podrán ejercer los derechos anteriormente expuestos ante cualquiera de los Corresponsables del tratamiento.
  18. Los Corresponsables del tratamiento deberán contestar al ejercicio del correspondiente derecho, en el plazo máximo de un mes contados a partir de la recepción de la solicitud.
  19. Llevar un registro de las actividades de tratamiento que se efectúen bajo su responsabilidad. Aquellos tratamientos que se efectúen conjuntamente como y regulados por el presente acuerdo, deberán quedar reflejados en el Registro de actividades de tratamiento de cada Corresponsable. Dicho registro deberá contener al menos la siguiente información:
  20. El nombre y los datos de contacto del Responsable, así como del Corresponsable del tratamiento y, en su caso, del representante del Responsable, y del delegado de protección de datos.
  21. La finalidad del tratamiento.
  22. Una descripción de las categorías de interesados y de las categorías de datos personales.
  23. Las categorías de destinatarios a quienes se comuniquen datos de carácter personal, incluidos los destinatarios de países u organizaciones internacionales.
  24. En su caso, las transferencias internacionales de datos, así como la respectiva garantía para efectuar la misma, conforme la normativa de protección de datos.
  25. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
  26. Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que incluyan, con carácter enunciativo y no limitativo:
  27. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  28. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  29. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  30. La pseudonimización y el cifrado de datos personales, en su caso.

 

  1. Utilizar los datos personales objeto del tratamiento, solo para la finalidad para la cual fueron recogidos.

 

Garantizar que, todo aquel personal que intervenga en cualquier tratamiento de datos de carácter personal, se comprometa, de forma expresa y por escrito, a respetar la confidencialidad, el secreto profesional y a cumplir las medidas de seguridad correspondientes, de las que hay que sensibilizar, formar e informar convenientemente. Ambas partes  mantendrán a mutua disposición la documentación acreditativa del cumplimiento de esta obligación. El deber de secreto y confidencialidad respecto a los datos de carácter personal perdurará indefinidamente. 

 

  1. No comunicar datos a terceras personas, salvo que cuente con la autorización expresa del interesado y del otro Corresponsable, o en los supuestos legalmente admisibles.

 

  1. Comunicar a la otra parte, sin dilación indebida y en cualquier caso antes del plazo de máximo de 24 horas, la existencia de aquellas violaciones de seguridad que pudieran afectar a las actividades de tratamiento afectadas por el presente acuerdo de corresponsabilidad. 

 

Al respecto, corresponderá a la parte que primero hubiera tenido conocimiento de la violación de seguridad, comunicar la misma a la autoridad de control competente, sin dilación indebida, y en cualquier caso en el plazo máximo de 72 desde que se tenga constancia de su existencia.  Se facilitará, como mínimo, la información siguiente: 

 

  1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 
  2. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  3. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.  

 

Asimismo, corresponderá a la parte que primero hubiera tenido conocimiento de la violación de seguridad, comunicar sin dilación indebida la misma a aquellos interesados afectados por su materialización, siempre y cuando dicha violación entrañe un alto riesgo para sus derechos y libertades. La comunicación a los afectados debe realizarse en un lenguaje claro y sencillo y contendrá, como mínimo: 

  1. Explicación de la naturaleza de la violación de datos.
  2. Indicación del nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  5. Apoyarse mutuamente, en el supuesto en que sea necesario, para la realización de las evaluaciones de impacto relativas a la protección de datos, así como, para la realización de consultas previas a la autoridad de control.
  6. Poner a disposición, cada Corresponsable del tratamiento respecto del otro Corresponsable, toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la normativa de protección de datos, así como permitir la realización de auditorías, incluidas inspecciones, que pudiera realizar cada uno de los corresponsables u otro auditor designado por éstos. Para este tipo de acciones, se establece un aviso previo de siete días hábiles.

 

 

  • PUNTO DE CONTACTO:

 

 

Se establece como punto de contacto para los interesados, las siguientes direcciones postales y electrónicas:

 

 

 

  • RESPONSABILIDAD:

 

 

Cada Corresponsable, individualmente considerado, queda exonerado de cualquier responsabilidad que se pudiera generar por el incumplimiento por la otra parte de las estipulaciones del presente acuerdo, así como de lo previsto en el RGPD, LOPGDD y la demás normativa aplicable. Para determinar la indemnización y responsabilidad, se aplicarán las reglas establecidas en el artículo 82 RGPD.

 

  1. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS:

 

Las Partes se obligan a guardar absoluta confidencialidad sobre la información y documentación que se faciliten o tengan acceso, así como a no revelar, ni utilizar directa o indirectamente la información derivada del presente acuerdo.

 

Ambas partes se informan respectivamente que los datos personales de los firmantes del presente acuerdo así como de las personas de contacto se incluirán en los tratamientos de la otra parte para satisfacer la finalidad de gestión y mantenimiento de la relación contractual. En cualquier momento, podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación al tratamiento, portabilidad, y a no ser objeto de decisiones individualizadas automatizadas, cuando procedan, en las direcciones postales y emails de contacto indicados en el encabezamiento. Asimismo, facilitan la política de privacidad colgada en sus respectivas páginas web para mayor información ofreciendo la disponibilidad de adjuntarla en papel o enviarla por correo si no se tuviera página web.

 

 

  • LEGISLACIÓN APLICABLE Y JURISDICCIÓN:

 

 

El presente acuerdo contempla las exigencias de la legislación española y europea vigente en materia de protección de datos personales, particularmente por lo establecido en el RGPD y LOPDGDD. 

Las partes, someten todas las interpretaciones y/o conflictos que pudieran surgir derivados del presente acuerdo a los Juzgados y Tribunales de España, concretamente los Juzgados y Tribunales de Madrid.

Para  que así conste, firman por duplicado el presente contrato en el lugar y fecha arriba indicados.

 

Fdo: ______________________________

SERCLYM S.L.

Fdo: _____________________________

LIMPIEZAS IRIS S.A.

Fdo: _____________________________

LIMPIEZAS CIBELES S.L.