I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE FAMILIA, JUVENTUD Y POLÍTICA SOCIAL

En Madrid, a 24 de abril de 2023

REUNIDAS

De una parte, la Excma. Sra. D.^a María Concepción Dancausa Treviño, Consejera de Familia, Juventud y Política Social de la Comunidad de Madrid, nombrada mediante Decreto 47/2021, de 19 de junio, de la Presidenta de la Comunidad de Madrid, actuando en virtud de las competencias que le otorga el artículo 41.a) de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, y el artículo 3.2.a) del Decreto 48/2019, de 10 de junio, por el que se regula la actividad convencional de la Comunidad de Madrid. Actúa, asimismo, en calidad de Presidenta del Consejo de Administración de la Agencia Madrileña de Atención Social (AMAS) y representante legal de la misma, a tenor de lo dispuesto en el artículo 12 de la Ley 1/1984, de 19 de enero, reguladora de la Administración Institucional de la Comunidad de Madrid, en relación con el apartado cinco. 1.a) del artículo 5 de la Ley 9/2015, de 28 de diciembre, de Medidas Fiscales y Administrativas.

Y de otra, Dña. Marta Varela Entrecanales, con domicilio a efectos del presente convenio en calle Serrano, número 41, bajo B, C. P. 28001 Madrid, en su calidad de Patrona-Presidente de Fundación Gregal, con NIF G-87816989, en ejercicio de las atribuciones que le confiere su condición de Patrona-delegada de la Fundación, nombrada en escritura otorgada el día 26 de abril de 2017 ante el Notario de Madrid, don Rafael Bonardell Lenzano, como sustituto y para el protocolo de su compañero, don Luis Quiroga Gutiérrez, con el número 772 de su protocolo.

Ambas partes intervienen en nombre y representación de las instituciones señaladas, reconociéndose capacidad jurídica suficiente para suscribir el presente convenio, y a tal efecto

MANIFIESTAN

I

De conformidad con lo previsto en el artículo 26.1.23 de la Ley Orgánica 3/1983, de 25 de febrero, de Estatuto de Autonomía de la Comunidad de Madrid, la Comunidad de Madrid, en los términos establecidos en el presente Estatuto, tiene competencia exclusiva en la promoción y ayuda a la tercera edad, emigrantes, minusválidos y demás grupos sociales necesitados de especial atención, incluida la creación de centros de protección, reinserción y rehabilitación.

II

Que la Ley 12/2022, de 21 de diciembre, de Servicios Sociales de la Comunidad de Madrid, establece como función principal del Sistema Público de Servicios Sociales la de asegurar a las personas el derecho a vivir dignamente durante todas las etapas de la vida, siendo su finalidad favorecer la integración social, la igualdad de oportunidades, la autonomía personal, la convivencia familiar, la participación social y el bienestar social de todas las personas, familias y grupos, mediante una función promotora, preventiva, protectora y de atención frente a las necesidades sociales originadas por situaciones de vulnerabilidad, exclusión, desprotección, desamparo, dependencia, urgencia o emergencia social.

III

Que el Decreto 208/2021, de 1 de septiembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Familia, Juventud y Política Social (en adelante la Consejería), establece como competencias de la misma, entre otras, el desarrollo general, la coordinación, la dirección, ejecución y control de las políticas públicas del Gobierno en materia de atención a personas mayores y de las personas dependientes.

A este respecto, corresponde a la citada Consejería la coordinación de la red pública de los servicios sociales de atención a personas mayores de la Comunidad de Madrid, y de los servicios y programas que se desarrollen en esta materia, junto con el impulso de mecanismos que garanticen la promoción de la autonomía personal de las personas mayores y de las personas dependientes a través de la colaboración con otras Administraciones Públicas y la iniciativa social.

La Consejería tiene entre sus áreas de actuación la atención y la promoción del bienestar de las personas mayores y de las personas dependientes, de cara a promover su integración y participación en la sociedad.

IV

Que en el artículo 4.^o de los Estatutos de la Fundación Gregal se establece que entre los objetivos y fines de la Fundación está el desarrollo e impulso de acciones necesarias para mejorar la calidad de vida de las personas de la tercera edad, promover la realización de actividades para concienciar a la población acerca de la necesidad de prestar una especial atención a las personas mayores y promover o realizar proyectos de asistencia e inclusión social.

Que en el cumplimiento de dichos fines, la Fundación ha consolidado una línea de actuación materializada en el desarrollo del “Programa Duplo” (en adelante el Programa), que tiene como objeto fomentar la convivencia intergeneracional entre personas de la tercera edad y estudiantes de enseñanzas superiores. Dicho programa pretender favorecer, entre otras actividades, el intercambio de experiencias, la interacción y la convivencia entre ambos colectivos con el propósito de, por un lado, mejorar la calidad de vida y expectativas de las personas de la tercera edad y, por otro, hacer posible que los estudiantes tomen conciencia de la importancia en la sociedad de los mayores, permitiéndoles adquirir nuevas experiencias y enseñanzas que puedan aplicar tanto en su vida personal y académica, como en su futura carrera profesional. Asimismo, el Programa pretende contribuir al desarrollo académico de los estudiantes que participen en el mismo mediante la convocatoria y concesión de ayudas destinadas a sufragar los gastos asociados a la realización de los estudios, tales como los generados por alojamiento, manutención, etc., para que puedan desarrollar sus estudios con mayor independencia económica.

V

Que ambas instituciones, en el seguimiento de sus respectivos fines, consideran oportuno y adecuado mantener una colaboración para el desarrollo del Programa en las residencias públicas y concertadas de la Comunidad de Madrid, para lo que se reconocen mutuamente capacidad suficiente y acuerdan libremente suscribir el presente Convenio de conformidad con las siguientes

CLÁUSULAS

Primera

Objeto del convenio

El presente convenio tiene por objeto establecer el marco general y la metodología para el desarrollo de la colaboración entre la Comunidad de Madrid, a través de la Consejería, y la Fundación, para el desarrollo del “Programa Duplo” (en adelante “Programa”) para fomentar la convivencia intergeneracional entre personas de la tercera edad, usuarias de servicios residenciales públicos de gestión directa e indirecta, y estudiantes de enseñanzas superiores, a través de actividades realizadas en grupos intergeneracionales y desde las que se fomente el intercambio de experiencias y conocimientos y se estimule la creatividad y la actividad física.

La Fundación viene ejecutando el Programa desde el año de su constitución (2017) para lo cual viene colaborando con otras residencias y centros educativos. La Fundación podrá, si así lo considera, continuar implementando el Programa con otras entidades terceras al margen de la Comunidad de Madrid.

Segunda

Objetivos del Programa

Con la ejecución del Programa se pretenden conseguir los siguientes objetivos:

1. Promover el envejecimiento activo y saludable en personas mayores usuarias de servicios residenciales públicos de gestión directa e indirecta de la Comunidad de Madrid.

2. Promover la participación social y convivencia de las personas mayores usuarias de servicios residenciales públicos de gestión directa e indirecta de la Comunidad de Madrid evitando, en la medida de lo posible, sentimientos de soledad no deseada.

3. Promover la concienciación de la población joven acerca de la necesidad de prestar una especial atención a las personas mayores para fomentar su autonomía y el mantenimiento de una vida activa.

4. Contribuir al desarrollo académico de los estudiantes que participen en el programa.

Tercera

Personas destinatarias del Programa

Serán personas destinatarias del Programa las personas mayores usuarias de los servicios residenciales públicos que se determinen por las personas responsables de los mismos, así como los estudiantes beneficiarios de las ayudas al estudio que la Fundación acuerde conceder en las convocatorias que publique.

De acuerdo con las características de cada actividad, participarán mayores interesados de los centros residenciales, previa invitación por la Consejería y aprobación por la dirección del centro correspondiente y la Comisión de Seguimiento.

Cuarta

Contenido del Programa

El “Programa Duplo” consistirá en la creación y mantenimiento de grupos intergeneracionales en los que se desarrollen actividades orientadas a facilitar la conversación, el intercambio de experiencias y conocimientos, además de estimular la creatividad y la actividad física.

Estas actividades seguirán un modelo hecho con el asesoramiento de geriatras, psicólogos y expertos en diferentes disciplinas artísticas para estimular las esferas cognitivas, físicas y anímicas de los mayores.

Los grupos estarán compuestos por personas mayores usuarias de centros residenciales públicos de la Comunidad de Madrid, tanto de gestión directa como indirecta, y por estudiantes jóvenes becados y seleccionados para este fin por la Fundación. Asimismo, se reunirán de manera recurrente y continua (por lo general 2 días en semana, 2,5 horas c/día), y los jóvenes estudiantes participantes adquirirán un compromiso de asistencia y preparación de las actividades.

La concreción de las actividades de cada uno de los grupos, deberá contar con la autorización previa de la dirección de los centros correspondientes y de la Comisión de Seguimiento.

Quinta

Compromisos de las partes

A. Compromisos de la Consejería de Familia, Juventud y Política Social

Para la correcta ejecución del presente convenio la Consejería asume las siguientes obligaciones:

1. Difundir la existencia y contenidos del Programa entre el conjunto de los centros residenciales públicos, tanto de gestión directa como indirecta, así como las indicaciones pertinentes para su incorporación al mismo, en los términos que se establezcan desde la Comisión de Seguimiento.

2. Favorecer la incorporación de las personas mayores, residentes de los centros, a las distintas actividades del Programa, con el conocimiento y acuerdo de la dirección del centro correspondiente.

3. Facilitar, en las residencias adscritas al Programa, la habilitación de espacios independientes para el desarrollo diario de las actividades, cobertura de Internet y un espacio con llave para poder guardar los materiales y utensilios de la Fundación.

4. Coordinar y realizar el seguimiento técnico de las actividades programadas.

B. Compromisos de la Fundación Gregal

Por su parte, la Fundación:

1. Previamente a su implementación, dará a conocer a los responsables del centro residencial y a la Comisión de Seguimiento la identidad de los alumnos participantes en el Programa, así como el detalle de todas las tareas y actividades que éstos vayan a desempeñar. En ningún caso estas tareas podrán comprender funciones asistenciales propias del personal de la residencia, tales como limpieza, asistencia para comedor, aseo, vestido, etc.

2. Será la única responsable de la relación con los estudiantes incorporados al programa, asegurándose que todos ellos posean un seguro en vigor de acuerdo con los normativa reguladora aplicable e incluya cobertura ante accidentes “in itinere”, y se obliguen a actuar con toda la discreción y reserva necesarias para mantener el secreto y confidencialidad de los hechos, datos y experiencias a las que puedan tener acceso con ocasión de su participación y presencia en los centros residenciales por motivo del presente convenio.

3. Se asegurará de la existencia de una autorización y consentimiento firmado por el usuario y/o sus familiares tanto para la participación en el Programa como, en su caso, para la evaluación de su impacto, grabación, difusión y cesión de derechos de imagen.

Sexta

Financiación

El presente convenio de colaboración tiene carácter gratuito y se lleva a cabo dentro de las actividades que la fundación desarrolla para el cumplimiento de sus fines. No conlleva, por tanto, ningún tipo de obligación económica para la Comunidad de Madrid.

Séptima

Comisión de seguimiento

Por la firma del presente convenio se constituye una Comisión de Seguimiento como mecanismo de seguimiento y control de la ejecución y de interpretación del mismo tal como recoge el artículo 4.3.g) del Decreto 48/2019, de 10 de junio, del Consejo de Gobierno, por el que se regula la actividad convencional de la Comunidad de Madrid.

Esta Comisión de Seguimiento estará integrada, por parte de la Consejería, por el titular de la dirección general competente en materia de mayores o por los empleados públicos designados por éste. Y por parte de la Fundación, por el coordinador/a del Programa Duplo. Podrán asistir, sin el carácter de miembros, cualesquiera otros profesionales que, por razón de su pericia o formación, se estime que puedan ser útiles en las cuestiones debatidas en el seno de dicha Comisión.

A la Comisión de Seguimiento le corresponden, entre otras, las siguientes funciones:

1. Definición del plan de trabajo y funciones a desarrollar por las partes, adecuando su implantación a los espacios existentes y a las posibilidades de intervención en cada uno de los centros.

2. Coordinación y seguimiento de la gestión de las actividades previstas.

3. Velar por el cumplimiento de los términos de colaboración acordados en este documento y la resolución de posibles discrepancias.

Esta Comisión se reunirá por lo menos una vez al año pudiendo ser convocada cuantas veces se estime necesario por cualquiera de las partes, con una antelación mínima de diez días hábiles.

Para lo no dispuesto en la presente cláusula, el funcionamiento de la Comisión de Seguimiento se regirá de acuerdo con lo previsto para los órganos colegiados de las administraciones públicas, en la sección 3.^a, del capítulo II, del título preliminar, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Octava

Protección de datos personales

Las partes se comprometen a cumplir las previsiones contenidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, así como en el Reglamento (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y cualquier otra normativa que pueda sustituir, modificar o complementar a la mencionada en materia de protección de datos de carácter personal durante la vigencia del presente convenio.

Las obligaciones en materia de protección de dichos datos tendrán validez durante la vigencia del presente convenio y una vez terminado este durante el tiempo necesario para depurar las posibles responsabilidades por incumplimientos en los términos fijados por el Reglamento 2016/679 antedicho.

En particular, las partes se comprometen a respetar el deber de confidencialidad, y las limitaciones en su caso marcadas por la normativa de aplicación, sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

El tratamiento de los datos del presente convenio queda sometido a la normativa anteriormente citada, así como a la vigente en cada momento, en los términos dispuestos en el anexo del presente convenio.

Se informa a las personas físicas firmantes, y aquellas cuyos datos resulten necesarios gestionar para llevar a buen fin el presente Convenio, que sus datos serán tratados conforme la normativa vigente por la Consejería de Familia, Juventud y Política Social, en la actividad de tratamiento “Convenios Administrativos”. Para ejercer sus derechos, podrán dirigirse a la Consejería de Familia, Juventud y Política Social mediante una solicitud firmada, presentada ante el Registro correspondiente, o bien contactar al delegado de protección de datos en protecciondatos-psociales@madrid.org

Novena

Vigencia, prórroga y modificación

Este acuerdo entrará en vigor en el momento de su firma y tendrá validez hasta el 1 de julio de 2024. No obstante, la duración inicialmente pactada, el convenio podrá ser prorrogado por acuerdo expreso de las partes por periodos anuales hasta un máximo de dos años adicionales. La prórroga deberá formalizarse antes del vencimiento del plazo de vigencia correspondiente mediante la suscripción de la correspondiente adenda.

Atendiendo a lo establecido en el artículo 49.g) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, la modificación del contenido del convenio requerirá acuerdo unánime de los firmantes.

Décima

Causas y procedimientos de resolución

Serán causas de resolución del presente convenio:

a) El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.

b) El mutuo acuerdo entre las partes.

c) El incumplimiento por cualquiera de las partes de los compromisos adquiridos.

En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a las demás partes firmantes.

Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. La resolución del convenio por esta causa no conlleva indemnización.

d) Decisión judicial declaratoria de la nulidad del convenio.

e) Cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.

No obstante lo anterior, si cuando concurra cualquiera de las causas de resolución del convenio existen actuaciones en curso de ejecución, las partes, a propuesta de la Comisión de Seguimiento, responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y de los compromisos adquiridos por los firmantes a que hace referencia la letra f) del artículo 49 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, podrán acordar la continuación y finalización de las actuaciones en curso que consideren oportunas, estableciendo un plazo improrrogable para su finalización, transcurrido el cual deberá realizarse la liquidación de las mismas.

La resolución por cualquiera de las partes se realizará previa comunicación por escrito con una antelación mínima de diez (10) días hábiles.

Décimo primera

Régimen jurídico

1. El presente convenio se interpretará de conformidad con la legislación española. En particular, este convenio tiene naturaleza de convenio de colaboración empresarial en actividades de interés general al amparo del artículo 25 de la Ley 49/2002, de 23 de diciembre, de régimen fiscal de las entidades sin fines lucrativos y de los incentivos fiscales al mecenazgo.

2. El presente convenio tiene naturaleza administrativa, rigiéndose por las disposiciones de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

3. El presente convenio queda excluido del ámbito de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, de conformidad con lo dispuesto en artículo 6. Aplicándose los principios de esta Ley para resolver las dudas y lagunas que pudieran presentarse de conformidad con el artículo 4.

Décimo segunda

Jurisdicción

Las controversias que puedan surgir sobre la interpretación, modificación, resolución y efectos que puedan derivarse del presente convenio se resolverán entre las partes agotando todas las formas posibles de conciliación para llegar a un acuerdo amistoso extrajudicial.

Las cuestiones litigiosas que se originen por la aplicación de este convenio, se dirimirán ante los Tribunales de la Jurisdicción Contencioso-Administrativa con sede en Madrid.

Y para que así conste y en prueba de conformidad de las partes, se firma el presente convenio de colaboración, siendo la fecha de formalización del mismo la correspondiente a la de la firma de la Comunidad de Madrid, o en ausencia de fecha en la firma la que figure en el encabezamiento.

Madrid, a 24 de mayo de 2023.—Por parte de la Comunidad de Madrid, la Consejera de Familia, Juventud y Política Social, Concepción Dancausa Treviño.—Por parte de la Fundación Gregal, la Patrona-Presidente de Fundación Gregal, Marta Varela Entrecanales.

ANEXO

ACUERDO DE ENCARGO DE TRATAMIENTO

En el presente acuerdo las partes fijan formalmente y por escrito los términos y condiciones para regular el tratamiento de datos de carácter personal y la confidencialidad de la información suministrada y creada entre ellas.

Primera

Responsable y encargado del tratamiento

La Dirección General de Atención al Mayor y a la Dependencia de la Comunidad de Madrid tendrá la consideración de responsable del tratamiento y la Fundación Gregal tendrá la consideración de encargado del tratamiento, conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el resto de normativa vigente en la materia.

En consecuencia, el acceso a datos de carácter personal en el marco de este convenio, se realiza con el único fin de dar cumplimiento al objeto del mismo y no se considerará como una cesión o comunicación de datos.

Segunda

Definiciones

Los términos específicos en materia de protección de datos serán interpretados conforme a las definiciones establecidas en el artículo 4 del RGPD.

Tercera

Objeto del encargo de tratamiento

Mediante las presentes cláusulas se habilita a la Fundación Gregal, encargada del tratamiento, para tratar por cuenta de la Dirección General de Atención al Mayor y a la Dependencia, responsable del tratamiento, los datos de carácter personal necesarios para desarrollar en colaboración con la Comunidad de Madrid cuya finalidad de tratamiento es el desarrollo del “Programa Duplo” para fomentar la convivencia intergeneracional entre personas de la tercera edad, usuarias de servicios residenciales públicos de gestión directa e indirecta, y estudiantes de enseñanzas superiores, a través de actividades realizadas en grupos intergeneracionales y desde las que se fomente el intercambio de experiencias y conocimientos y se estimule la creatividad y la actividad física.

El tratamiento de los datos personales comprenderá: recogida/registro/estructuración/modificación/conservación/consulta/interconexión/comunicación/y cualquier otro que requiera el objeto del convenio que se suscribe.

Cuarta

Identificación de la información afectada

Para la ejecución de la/s actuación/actuaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone a disposición del encargado, la información que se describe a continuación, correspondiente a la actividad de tratamiento “Acceso a Servicios para Personas Mayores”:

— Interesados: ciudadanos: personas mayores de 55 años.

— Datos personales del tratamiento a los que se puede acceder: datos identificativos, de contacto de sus allegados y/o familiares.

Quinta

Duración

El presente acuerdo tiene una duración coincidente con el período de vigencia del convenio suscrito, sin perjuicio de las obligaciones que, conforme al clausulado del presente acuerdo de encargo hayan de extenderse más allá de dicho período.

Sexta

Deber de confidencialidad

El encargado del tratamiento se obliga a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el responsable del tratamiento a efectos de dar cumplimiento al objeto del convenio.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este convenio, en especial la información y datos personales a los que el encargado haya accedido o acceda durante su ejecución.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud del presente convenio durante la vigencia del mismo, así como de forma indefinida tras su finalización, obligándose a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e) No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de este convenio.

f) Cumplir con todos los términos fijados en el presente acuerdo y muy especialmente aquellos relativos a las cláusulas sobre confidencialidad, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios, subencargados, etc.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente.

El encargado será responsable de que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del responsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el encargado, entendiéndose circunscritas estas obligaciones tanto al ámbito interno de la entidad como al ámbito externo de la misma. Por tanto, el encargado realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones, así como del cumplimiento de las medidas de seguridad correspondientes, incluidas las que consten en los documentos de seguridad de las dependencias de la Comunidad de Madrid en las que, en su caso, hubieran de desarrollar su trabajo.

A estos efectos, el encargado se compromete a llevar un listado del personal/personas autorizadas para tratar los datos personales, que estará en todo momento a disposición del responsable.

La Comunidad de Madrid se reserva el derecho al ejercicio de las acciones legales oportunas en caso de que, bajo su criterio, se produzca un incumplimiento de dichos compromisos.

El encargado mantendrá a disposición del responsable la documentación acreditativa del cumplimiento de las obligaciones anteriormente señaladas.

Séptima

Obligaciones del encargado del tratamiento

El encargado del tratamiento asume, junto al resto de las contenidas en el presente acuerdo, las siguientes obligaciones:

— Acceder, utilizar y destinar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

— Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento conforme al contenido de este convenio y a, en su caso, las instrucciones que le pueda especificar en concreto. Si el encargado considera que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, informará inmediatamente al responsable.

— Facilitar, en el momento de la recogida de los datos, la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.

— Asumir la condición de responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubiera incurrido personalmente.

— No permitir el acceso a los datos de carácter personal responsabilidad del responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para el desarrollo y correcto cumplimiento del objeto del convenio suscrito.

— No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal responsabilidad del responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del responsable, que deberá constar, en todo caso, por escrito.

A estos efectos, el encargado podrá comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones de dicho responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos concretos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

— Tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de subencargado/s autorizado/s conforme a lo establecido en el convenio suscrito o demás documentos convencionales que pudieran adicionarse o complementar al mismo, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

En el caso de que por causa de Derecho nacional o de la Unión Europea el encargado se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará por escrito al responsable de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al responsable del tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.

— Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD y en el Real Decreto vigente por el que se regula el Esquema Nacional de Seguridad (ENS), que garanticen la seguridad de los datos de carácter personal responsabilidad del responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

— Garantizar, a lo largo de toda la vigencia del convenio, la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

— En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el encargado mantendrá un registro, incluso en formato electrónico, de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga la información exigida por el artículo 30.2 del RGPD.

— Asistir al responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en los términos dispuestos en la cláusula undécima del presente acuerdo, y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.

— Colaborar con el responsable en el cumplimiento de sus obligaciones en materia de medidas de seguridad, comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga, y de conformidad con las disposiciones contenidas en la cláusula novena del presente acuerdo.

— Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del responsable, a requerimiento de este. Asimismo, durante la vigencia del acuerdo, pondrá a disposición del responsable toda información, certificaciones y auditorías realizadas en cada momento. Igualmente, proporcionará al responsable cuantos datos o documentos le sean requeridos en los controles, auditorías o inspecciones que realice en cualquier momento el propio responsable del tratamiento u otro auditor autorizado por este.

— En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al responsable, así como cumplir con el resto de requerimientos establecidos en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD. En los mismos términos se procederá en caso de que la designación haya sido voluntaria.

Asimismo, el encargado habrá de comunicar la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el mismo como su/s representante(s) a efectos de protección de los Datos Personales, responsable(s) del cumplimiento de la regulación del tratamiento de datos personales, en las vertientes legales/formales y en las de seguridad.

— Respetar todas las obligaciones que pudieran corresponderle como encargado del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

Octava

Obligaciones del responsable del tratamiento

El responsable manifiesta y hace constar a los efectos legales oportunos que:

a) Cumple con todas sus obligaciones en materia de protección de datos como responsable del tratamiento y es consciente de que los términos de este convenio en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al responsable del tratamiento como tal.

b) Supervisa el tratamiento y el cumplimiento de la normativa de protección de datos por parte del encargado del tratamiento.

Novena

Medidas de seguridad y violación de la seguridad

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, el encargado tendrá en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

El encargado del tratamiento permitirá y contribuirá a la realización de controles, auditorías e inspecciones, por parte del responsable del tratamiento o de otro auditor autorizado por este.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del convenio de referencia, el encargado garantiza la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos de este convenio.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por el encargado para la prestación de los servicios objeto del convenio, este deberá comunicarla al responsable, sin dilación indebida, y a más tardar en el plazo de 24 horas desde que se tenga constancia de la misma, juntamente con toda la información relevante para la documentación y, en su caso, comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener, que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del convenio. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad, todo ello conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, se autoriza al encargado de tratamiento a comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados, en representación del responsable de tratamiento. El responsable de tratamiento debe ser previamente informado sobre la ocurrencia de la brecha de datos personales y todos los detalles relevantes como establece el artículo 33.2 del RGPD.

Décima

Destino de los datos al finalizar el convenio

Una vez cumplido o resuelto el convenio y, en consecuencia, finalizado el encargo, el encargado devolverá al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

No obstante, el responsable del tratamiento podrá requerir al encargado para que, en lugar de las actuaciones anteriormente señaladas, cumpla con la opción a) o b) que se indican a continuación:

a) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del convenio.

b) Destruir los datos, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no podrá procederse a su destrucción.

Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de su relación con el mismo, destruyéndose de forma segura y definitiva al extinguirse cualquier posible responsabilidad.

Undécima

Ejercicio de derechos ante el encargado de tratamiento

El encargado deberá dar traslado al responsable de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por el encargado con motivo del cumplimiento del convenio, a fin de que se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud al responsable deberá hacerse con la mayor celeridad posible y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder.

Asimismo, el encargado deberá tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciba a través del responsable, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud, como la ejecución de la tarea encomendada.

Duodécima

Subencargo del tratamiento

Con carácter general el encargado no podrá subencargar las prestaciones que formen parte del objeto de este convenio y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para su normal funcionamiento.

Sin perjuicio de lo anterior, en caso de que el encargado necesitara subencargar todo o parte de los servicios encargados por el responsable en los que intervenga el tratamiento de datos personales, deberá comunicarlo previamente y por escrito al responsable, con una antelación de un mes, indicando los tratamientos que se pretende subencargar e identificando de forma clara e inequívoca la empresa subencargada y sus datos de contacto.

El subencargo podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

En este último caso, el subencargado, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable del tratamiento.

Corresponde a encargado del tratamiento exigir al subencargado el cumplimiento de las mismas obligaciones asumidas por él a través del presente documento y seguirá siendo plenamente responsable ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones.

El encargado del tratamiento está obligado a informar al responsable de cualquier cambio en la incorporación o sustitución de otros subencargados con una antelación de 1 mes, dando así al responsable la oportunidad de oponerse a dichos cambios.

Decimotercera

Responsabilidad

El encargado será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones de este convenio, respondiendo de las infracciones en las que hubiera incurrido personalmente.

Para el cumplimiento del objeto del convenio suscrito no se requiere que el encargado acceda a ningún otro dato personal responsabilidad del responsable del tratamiento y, en consecuencia, no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en dicho texto convencional. Si se produjera una incidencia durante la ejecución del convenio que conllevará un acceso accidental o incidental a esos datos personales, el encargado deberá ponerlo en conocimiento del responsable, en concreto de su Delegado de Protección de Datos, con la mayor diligencia y a más tardar en el plazo de 24 horas.

Las partes responderán de las infracciones en las que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de ellas.

(03/8.144/23)