De acuerdo con lo previsto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del convenio suscrito entre el Consejo Superior de Deportes y CECA para la realización de acciones conjuntas que faciliten la formación e inserción laboral de los deportistas de alto nivel y alto rendimiento en el marco del Programa de Atención al Deportista (PROAD) a través de la prestación de un servicio de formación en finanzas a los deportistas.
Madrid, 12 de abril de 2024.–El Presidente del Consejo Superior de Deportes, José Manuel Rodríguez Uribes.
Madrid, 6 de marzo de 2024.
REUNIDOS
De una parte, don Fernando Molinero Revert, Director General de Deportes, nombrado por Real Decreto 8/2023, de 10 de enero, en nombre y representación del Consejo Superior de Deportes (en adelante, CSD), con domicilio en calle Martín Fierro, 5, 28040 Madrid, en virtud de lo establecido en la letra c) del apartado primero de la Resolución de 17 de mayo de 2021, de la Presidencia del Consejo Superior de Deportes, por la que se delegan competencias.
De otra parte, don Antonio Romero Mora, como representante legal de CECA, con número de identificación fiscal G-28206936, con domicilio a los efectos de este convenio en Madrid, calle Alcalá, 27, en virtud de escritura de poder otorgada ante el Notario de Madrid don Luis Manuel González Martínez el día 6 de junio de 2011, con el número 0681 de su protocolo, debidamente inscrita en el Registro Mercantil de Madrid.
Actuando ambas partes en virtud de las competencias que cada uno ostenta y reconociéndose recíprocamente legitimados para la firma del convenio, a tal efecto,
MANIFIESTAN
I. La importancia de desarrollar acciones colaborativas en el marco de lo establecido por la Ley 10/1990, de 15 de octubre, del Deporte (Ley del Deporte) y del Real Decreto 971/2007, de 13 de junio, sobre deportistas de alto nivel (DAN) y de alto rendimiento (DAR), que posibilite el desarrollo adecuado de la carrera dual de estos deportistas, así como su formación académica de calidad durante su exigente etapa deportiva y al final de la misma, que les posibilite una futura integración socio-laboral de éxito.
II. Que CECA es la asociación nacional de todas las cajas de ahorros y entidades de crédito integradas por éstas, válidamente constituida de acuerdo con la legislación española y cuenta con la experiencia y los medios técnicos y humanos necesarios para prestar los servicios de formación objeto del presente convenio, estando la prestación de dichos servicios comprendida en su objeto social.
III. Que en consideración a lo anteriormente expuesto y reconociéndose mutuamente plena capacidad jurídica, las Partes otorgan el presente convenio para la formación financiera de deportistas del CSD (en adelante, el Convenio) que se regirá con arreglo a las siguientes
CLÁUSULAS
El objeto del presente convenio es la prestación de los servicios de formación financiera para deportistas del CSD que se detallan en el anexo I (en adelante, los Servicios) que se prestarán en los términos y condiciones establecidos en el presente convenio y en dicho anexo.
1. El CSD se compromete a:
– Cumplir con las obligaciones que le corresponden en virtud del presente convenio y en especial a llevar a cabo cuantas actuaciones sean necesarias para promover la realización y difusión del curso entre sus deportistas a través de sus canales habituales de contacto. La difusión del curso entre sus deportistas se llevará a cabo por medio de sus canales habituales de comunicación:
● Mailing a través del Gestor de Correos del CSD a todos los deportistas de alto nivel (DAN) y los deportistas de alto rendimiento (DAR) de las comunidades autónomas adscritas al PROAD (Castilla y León, Valencia, Baleares y Extremadura).
● Página web del PROAD: https://proad.csd.gob.es/.
● Página web del CSD: https://www.csd.gob.es/es.
● Redes sociales del CSD: Twitter, Facebook e Instagram.
2. CECA se compromete a:
– Facilitar, necesariamente, los medios y el personal cualificado para el trabajo a realizar al CSD, adaptándose en todo momento a las necesidades y horarios que el CSD requiera.
– El personal que CECA designe para la prestación de los Servicios dependerá única y exclusivamente de esta o de sus subcontratistas. CECA actuará en calidad de empleador dirigiendo y coordinando todas las tareas y actividades de dicho personal, ejercitando respecto del mismo las facultades disciplinarias, organizativas y de dirección correspondientes, y satisfaciendo los salarios y cualquier otro tipo de compensación económica derivada de la relación laboral o profesional existente con dicho personal. El convenio no establece ningún vínculo laboral entre el CSD y el personal dependiente de CECA o de los subcontratistas (por relación laboral o de otro tipo) que participen en la prestación de los Servicios.
– CECA se compromete a cumplir con todas y cada una de las disposiciones legales en materia laboral y de Seguridad Social en relación con la prestación de los Servicios y, en particular, a que el personal dedicado a la prestación de los mismos esté debidamente contratado y dado de alta en la Seguridad Social, así como a estar al corriente en el pago de los salarios, indemnizaciones y subsidios que procedan, y al día en el cumplimiento de sus obligaciones en materia laboral y de Seguridad Social, así como de cualquier tipo de compensación económica derivada de la relación laboral existente con su personal.
CECA podrá utilizar en sus comunicaciones los logos del PROAD y del CSD, como entidad colaboradora del PROAD, previa autorización del CSD.
El CSD podrá utilizar en sus comunicaciones sobre el PROAD el logotipo de CECA como entidad colaboradora del citado Programa, previa autorización de la misma.
El uso autorizado de estos logotipos tal como se acaba de prever, no supone ni podrá ser interpretado o alegado por ninguna de las partes como una autorización general para su uso con fines distintos a los indicados, ni como cualquier tipo de transmisión o enajenación de su titularidad o derechos derivados de los mismos.
Del contenido del convenio no se derivan compromisos económicos de naturaleza ordinaria que supongan contraprestación financiera entre las partes.
No obstante, CECA manifiesta que el gasto ocasionado por el personal que preste los Servicios, tendrá un coste estimado de entre 2.000 euros y 20.000 euros.
El presente convenio podrá ser puesto a disposición de los ciudadanos en el Portal de Transparencia, en aplicación de lo dispuesto en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso y Buen Gobierno.
El presente convenio, una vez firmado, resultará eficaz y entrará en vigor una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal (REOICO), al que se refiere la disposición adicional séptima de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Se publicará posteriormente en el «Boletín Oficial del Estado» (BOE); permaneciendo vigente durante dos años desde su publicación en el BOE.
En cualquier momento antes de la finalización del plazo previsto en el apartado anterior, los firmantes del convenio podrán acordar unánimemente su prórroga por un periodo de hasta dos años adicionales o su extinción.
El presente convenio podrá ser modificado por voluntad de ambas partes, mediante la suscripción del oportuno acuerdo de modificación, siempre y cuando se formalice antes de la finalización del plazo de duración del mismo. En todo caso, las modificaciones pactadas, así como los términos en los que éstas tomen cuerpo, se incorporarán como adenda al presente convenio y se tramitarán siempre de acuerdo con lo establecido en el artículo 50 de la de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público; y siempre sin sobrepasar el límite temporal establecido en la mencionada norma, tal como se recoge en el párrafo anterior.
Cualquiera de las partes podrá denunciar el presente convenio por causa justificada o por incumplimiento, comunicándolo a la otra por escrito con un mes de antelación a la fecha en la que desee la terminación del mismo o, en su caso, de su prórroga; existiendo la posibilidad de subsanación por la otra parte firmante de las eventuales deficiencias observadas.
El convenio se extinguirá por:
1. El cumplimiento de las actuaciones que constituyen su objeto.
2. Por incurrir en causa de resolución.
Serán causas de resolución del presente convenio:
a) El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga de este.
b) El acuerdo unánime de todos los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideren incumplidos. Este requerimiento será comunicado al responsable de la Comisión de Seguimiento del convenio y a las demás partes firmantes.
Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
d) Por decisión judicial declaratoria de la nulidad del convenio.
e) Por otra causa debidamente fundamentada por alguna de las partes firmantes.
El CSD, como cedente y tomador de los datos personales de sus deportistas, y CECA como tomador y cedente de datos personales de estos deportistas, adoptarán las medidas establecidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y su legislación de desarrollo para el tratamiento del presente convenio, aplicando lo establecido en el anexo II del presente convenio.
Teniendo en cuenta, a este respecto, los cambios legislativos que se han producido, en concreto con el cruce de datos de carácter personal, conforme a la aplicación exigida en este campo por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que entró en vigor en mayo de 2018.
Con el fin de coordinar el desarrollo de esta colaboración, cada una de las partes designa a un interlocutor responsable de canalizar toda la información relativa al desarrollo y operatividad de este convenio, que serán:
– Por parte de la CECA la persona designada por el responsable de la entidad.
– Por parte del Programa de Atención al Deportista de Alto Nivel (PROAD): La persona al cargo del citado Programa.
Ambas partes se reunirán, como mínimo, una vez al semestre para supervisar el desarrollo de la colaboración en todos los ámbitos. Para ello, se constituirá una Comisión Mixta de Seguimiento con representantes de ambas partes.
La Comisión de Seguimiento deberá evaluar los resultados de la cooperación desarrollada, analizar y aprobar las propuestas para su ejecución, revisar las áreas prioritarias, evaluar otras formas de colaboración, así como proponer acciones específicas que desarrollen el presente convenio. La Comisión elevará informes y propuestas a los órganos rectores de ambas instituciones.
Las partes acordarán a futuro, en el seno de la Comisión de Seguimiento, algunos aspectos de detalle de ejecución del convenio, no requiriendo una modificación del convenio sino el simple acuerdo entre partes, siempre que no afecte al contenido mínimo y esencial del convenio, el cual no puede ser objeto de modificación por la Comisión de Seguimiento.
Este convenio es de naturaleza jurídico-administrativa, se rigen por lo establecido en los artículos 47, 48 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y queda sometido al régimen jurídico de convenios previsto en el capítulo VI, título preliminar, de la citada ley.
Toda información de cualquier naturaleza comunicada por una de las partes a la otra en relación con este convenio, antes o después de su firma, incluidas las cláusulas de este convenio se entenderá confidencial.
No se considerará información confidencial (i) la información que sea del dominio público, (ii) la información conocida por la Parte receptora con anterioridad a la negociación del convenio, (iii) la información que la Parte receptora haya recibido de terceros sin que recaiga sobre ella deber de confidencialidad, y (iv) la información desarrollada de forma independiente por la Parte receptora.
Las Partes se obligan a guardar secreto sobre la información confidencial, a no reproducirla ni transformarla y a no transmitirla a terceros, salvo con el previo consentimiento por escrito de la otra Parte, empleando el mismo cuidado y discreción para evitar su revelación, publicación o difusión que el que usarían con su propia información confidencial similar, y utilizando la información confidencial exclusivamente para los fines del convenio.
Cada una de las Partes velará por que la información confidencial no se ponga en conocimiento de más personas que aquellas que precisen conocerla para garantizar el adecuado desarrollo del convenio o para el cumplimiento de las tareas que les son propias. Para revelar información confidencial a otras personas cada Parte necesitará el consentimiento por escrito de la otra.
En cualquier caso, todas las personas a quien sea revelada información confidencial de alguna de las Partes deberán haber suscrito un acuerdo de confidencialidad en los mismos términos que los previstos en este convenio. Las Partes no estarán sujetas a la obligación de confidencialidad regulada en la presente cláusula cuando la Información Confidencial deba ser revelada por imperativo legal o para dar cumplimiento a una orden de naturaleza judicial o administrativa, siempre que notifiquen dicha circunstancia a la Parte a quien pertenece la información confidencial en cuestión.
CECA se compromete a no divulgar o copiar a ningún tipo de soporte ninguna de las informaciones contenidas en los sistemas de EL CSD, y a las que el personal de la misma acceda por razón de la prestación de cualquiera de los Servicios, ya sean datos o programas, de cualquiera de los entornos de EL CSD. En caso de que, para la prestación de los Servicios, CECA tuviera que hacer copias de dichas informaciones, estas copias tendrán la consideración de información confidencial, a los efectos establecidos en la presente cláusula.
Las obligaciones establecidas en esta cláusula se mantendrán vigentes durante un periodo de cinco años, desde la fecha de resolución del presente convenio.
El incumplimiento de las obligaciones en materia de confidencialidad por parte de CECA facultará a EL CSD para resolver el convenio y exigir a aquella la indemnización por daños y perjuicios que corresponda.
Las controversias entre las partes firmantes y el conocimiento de las mismas, en caso de litigio judicial se resolverán por los Juzgados y Tribunales del orden jurisdiccional contencioso-administrativo.
Y en prueba de conformidad con los términos que anteceden y para que así conste, firman las Partes el presente documento en la fecha consignada en la firma digital de la última de las partes en firmar el documento.–El Director General de Deportes, Fernando Molinero Revert.–Por CECA, Antonio Romero Mora.
Objeto: Acceso a los deportistas del PROAD del CSD a un curso online de finanzas de entre quince y veinte horas de duración al que podrán acceder a través de la Plataforma del Centro Formativo CEF. Los deportistas dispondrán de un periodo máximo de cuatro meses para la realización del curso.
Dicho curso tiene la finalidad de ayudar a los deportistas a tomar conciencia de la importancia de una buena gestión de sus ingresos durante su vida deportiva para que sean capaces de llevar a cabo una buena gestión de sus gastos e ingresos y de sacar el máximo rendimiento de su dinero, fijándose objetivos de ahorro e inversión distintos en función de sus necesidades y su futuro, así como que los deportistas comprendan el funcionamiento, los riesgos y las oportunidades que ofrecen los productos financieros y sean capaces de tomar decisiones con los suficientes conocimientos e información.
El curso incluye los siguientes bloques:
1. Estrategias para el gasto y la planificación financiera.
2. Instrumentos de inversión.
3. Fiscalidad.
4. Seguros.
5. Cómo se organiza una sociedad mercantil.
6. Derechos de imagen y representación. Patrocinio.
7. Relación laboral del deportista.
Asimismo, incluye imágenes gráficas, infografías, juegos de preguntas, retos, podcast y vídeos, matriculación online, tutorización, resolución de dudas y test final de evaluación de conocimientos, así como la emisión de un certificado oficial de la Escuela de Formación CEF con la superación de la formación para los alumnos.
Precio: Gratuito.
Plazo: El curso estará a disposición de los deportistas del CSD, pudiéndose inscribir nuevos alumnos hasta cuatro meses antes de la fecha de vencimiento del mismo.
REUNIDOS
De una parte, don Fernando Molinero Revert, Director General de Deportes, nombrado por Real Decreto 8/2023, de 10 de enero, en nombre y representación del Consejo Superior de Deportes (en adelante, CSD), con domicilio en calle Martín Fierro, 5, 28040 Madrid, en virtud de lo establecido en la letra c) del apartado primero de la Resolución de 17 de mayo de 2021, de la Presidencia del Consejo Superior de Deportes, por la que se delegan competencias.
De otra parte, don Antonio Romero Mora, como representante legal de CECA, con número de identificación fiscal G-28206936 con domicilio a los efectos de este convenio en Madrid, calle Alcalá, 27, debidamente inscrita en el Registro Mercantil de Madrid.
En adelante, serán referidas conjuntamente como las Partes e, individualmente, cada una de ellas como la Parte.
EXPONEN
I. Que, como consecuencia de la prestación de los servicios de formación a empleados del CSD, el Encargado del tratamiento puede acceder a datos de carácter personal que se encuentran bajo la responsabilidad, custodia y protección del CSD; teniendo a estos efectos CECA la condición legal de Encargado del tratamiento con respecto a los mismos.
II. Que, en consecuencia y dando pleno cumplimiento a lo establecido en la normativa nacional y comunitaria que resulta de aplicación, las Partes desean recoger en el presente acuerdo las condiciones del tratamiento de los datos por parte de CECA, de conformidad con lo previsto en la legislación española.
III. Que, sin perjuicio de lo anterior, las Partes desean cumplir asimismo con las exigencias que, en relación con la regulación de la relación de Encargado del tratamiento, establece el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales, y a tal efecto, suscriben las siguientes
CLÁUSULAS
El presente convenio tiene por objeto definir las condiciones conforme a las cuales el encargado del tratamiento, bajo las instrucciones del responsable del tratamiento, llevará a cabo el tratamiento de datos personales que resulten necesarios para la prestación del servicio que es objeto del convenio referido en el expositivo I.
El objeto, la naturaleza y la finalidad del tratamiento de datos que el encargado del tratamiento ha de realizar, así como el tipo de datos personales y categorías de interesados a que dicho tratamiento se refiere, son los detallados en el apéndice I del presente convenio, así como, en su caso, en las sucesivas actualizaciones que las Partes pudieran acordar respecto del mismo.
Salvo que las partes acuerden lo contrario, las mismas y el resto de las sociedades pertenecientes a su grupo o que tengan vinculación con la misma, mantendrán absoluto secreto en relación con este acuerdo, su negocio y la información y la documentación referente a la otra Parte que haya llegado a su conocimiento como consecuencia del cumplimiento del acuerdo. Asimismo, el encargado del tratamiento se compromete de forma específica a tratar como confidencial toda aquella información responsabilidad del CSD o de terceros a la que pueda tener acceso, con motivo de la prestación de sus servicios y se compromete a que dichos datos permanezcan secretos.
A estos efectos, el encargado del tratamiento se compromete a tomar, respecto de sus empleados o colaboradores, las medidas necesarias para que resulten informados de la necesidad del cumplimiento de las obligaciones que le incumben como encargado del tratamiento y que, en consecuencia, deben respetar, así como a garantizar que los datos personales que conozca en virtud del presente acuerdo permanecen secretos incluso después de finalizado el presente acuerdo por cualquier causa. Para ello, el encargado del tratamiento realizará todas las advertencias (mediante formación, mensajes de concienciación, etc.) y suscribirá los documentos que sean necesarios con sus empleados o colaboradores, con el fin de asegurar el cumplimiento de tales obligaciones. Éstos deberán estar informados de forma comprensible de la existencia del presente acuerdo, de las normas de seguridad que afectan al desarrollo de sus funciones, las consecuencias en caso de incumplimiento y el carácter confidencial de la información y del deber de secreto de los datos personales, subsistiendo la obligación de confidencialidad y secreto aún finalizada la relación con el encargado del tratamiento.
Dicha obligación de información a los empleados y colaboradores del encargado deberá llevarse a cabo de modo tal que permita la documentación y puesta a disposición del CSD del cumplimiento de aquella obligación.
Adicionalmente, la información y documentación confidencial no podrá ser utilizada para fin distinto al cumplimiento del objeto del acuerdo, salvo que dicha información sea de general conocimiento y excepto por lo que se refiere a la información requerida en virtud de ley o cualquier otra regulación aplicable y obligatoria.
Una vez finalizado el presente acuerdo, la obligación de confidencialidad y deber de secreto prevista en esta cláusula se mantendrá de forma indefinida incluso hasta después de cesar en su relación con el responsable del tratamiento, cualquiera que fuera la causa.
En caso de detectarse cualquier tipo de actuación indebida por cualquier persona que desempeñe funciones profesionales para el encargado del tratamiento (acceso a información que no corresponde a sus funciones, uso indebido de usuarios y contraseñas, un usuario con más autorizaciones de las necesarias o cualquier otra), será responsabilidad y obligación expresa del encargado del tratamiento la comunicación inmediata junto con informe detallado de los hechos.
El Encargado del tratamiento se compromete a tratar los datos personales a los que tenga acceso únicamente conforme a las instrucciones por escrito que, a tal efecto, le indique el responsable del tratamiento; siempre siguiendo, cuando menos, con la misma política de protección de datos personales y con la política de medidas de seguridad para su resguardo que aquellas empleadas para tal efecto por el responsable del tratamiento. Este compromiso se extenderá asimismo con respecto a las transferencias internacionales de datos de carácter personal a un tercer país o una organización internacional.
En consecuencia, los datos que se conozcan u obtengan en virtud de este acuerdo:
− No podrán ser utilizados para ninguna otra finalidad distinta de la ejecución del mismo, tendrán carácter confidencial y no serán publicados o puestos en conocimiento de terceras partes sin la autorización previa y por escrito del responsable del tratamiento. En ningún caso tratará los datos para fines propios.
− No serán comunicados a terceros sin la previa autorización por escrito del CSD. En este sentido, el encargado de tratamiento, por escrito y de manera previa a que el CSD autorice la comunicación, identificará el CSD o entidades a que vaya a comunicar los datos, qué datos o categoría de datos personales van a ser objeto de la comunicación y las medidas de seguridad a aplicar para proceder a la misma.
En este sentido, el Encargado del tratamiento se compromete a informar inmediatamente al responsable del tratamiento en el caso en que una instrucción dirigida por este pudiera infringir las disposiciones que resultasen aplicables en materia de protección de datos recogidas en el ordenamiento comunitario o de los Estados miembros.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del presente acuerdo, será considerado también Responsable del tratamiento, respondiendo personalmente de las infracciones en que hubiera incurrido, así como de los daños y perjuicios que puede causar en este caso a el CSD.
El responsable autoriza al encargado a subcontratar total o parcialmente el tratamiento de datos, otorgándole plena autonomía en la subcontratación de terceros, siempre y cuando se cumplan los siguientes requisitos:
El Encargado está autorizado para subcontratar con terceros siempre que aporten una mejora, en términos de eficiencia y eficacia, a los servicios incluidos en el presente convenio (empresas de tecnología, seguridad, gestores, consultores, auditores, etc.).
La identificación de las empresas subcontratadas autorizadas por el responsable se encuentra en el correspondiente listado que el encargado irá actualizando periódicamente. Este listado se encuentra a disposición del responsable previa solicitud por escrito al encargado.
Con todas las empresas subcontratadas, el encargado se compromete a formalizar por escrito mediante un contrato, las especificaciones establecidas en la normativa vigente, los deberes y obligaciones que debe observar durante la prestación del servicio así como las instrucciones concretas que en su caso haya indicado el responsable para la ejecución del presente convenio siendo considerado la empresa subcontratada como un segundo encargado del tratamiento de la información de carácter personal del responsable.
El Encargado del tratamiento ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento.
Como mínimo, se observarán las medidas de seguridad especificadas a continuación:
a. Registro de actividades y documentación de seguridad. CECA ha elaborado un inventario de los tratamientos efectuados y la documentación de seguridad que resulta de obligado cumplimiento para todo el personal de su organización con acceso a los datos y que cubre la totalidad de sus tratamientos.
Se han establecido políticas de seguridad que establecen las medidas a mantener por tipología de datos y conforme a los diferentes tratamientos (almacenamiento, custodia, procesamiento, envío mediante medios físicos o electrónicos, copia y borrado de datos personales).
b. Responsable de seguridad. CECA ha designado un Responsable de seguridad que coordina y hace un seguimiento exhaustivo del efectivo cumplimiento de las medidas de seguridad establecidas y gestiona las incidencias de seguridad, sin perjuicio de las funciones del Delegado de Protección de Datos designado conforme a la normativa aplicable.
c. Se han establecido medidas de seguridad para tratamiento automatizado de datos (controles de entrada, procesamiento y salida de información).
i. Identificación y autenticación de accesos. CECA mantiene un listado actualizado del personal que tiene autorizado el acceso a los datos, definiendo sus funciones y permisos de acceso y ha establecido un sistema de identificación inequívoca y autenticación para el acceso por medio de contraseñas de duración limitada que facilitan que cada persona acceda sólo a los datos precisos para sus funciones. Se limita la posibilidad de intentos sucesivos de acceso no autorizado.
ii. Control de acceso. El Centro de Proceso de Datos del encargado de tratamiento se encuentra ubicado en un edificio independiente al que únicamente puede acceder el personal específicamente autorizado.
iii. Gestión de soportes no extraíbles. Todos los soportes que contienen los datos se encuentran inventariados. Los soportes se conservan en un lugar distinto de la sala de sistemas, de acceso limitado a las personas autorizadas.
iv. Gestión de soportes extraíbles. Los soportes extraíbles utilizados disponen de mecanismos que obstaculizan su apertura, e impiden el acceso a la información documental de personas no autorizadas. El Encargado de Tratamiento dispone de una política que establece restricciones en el uso de dispositivos como terminales móviles, portátiles, tablets, USBs, etc.
CECA mantiene un registro actualizado de la entrada y salida de soportes informáticos en la empresa, indicando el tipo de soporte, la fecha y hora, el emisor/destinatario, el número de soportes incluidos en el envío/recepción, el tipo de información que contienen, la forma de envío/recepción y la persona responsable para su recepción/entrega, la cual deberá estar debidamente autorizada.
v. Copias de respaldo y recuperación. Existen procedimientos de realización de copias de respaldo de la información. Las copias de seguridad se conservan en un lugar diferente de donde se encuentran los equipos informáticos. Además, se definirán y ejecutarán pruebas de recuperación de datos con una periodicidad semestral.
vi. Pruebas. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se garantice con carácter previo al tratamiento el nivel de seguridad correspondiente al tratamiento o la información haya sido previamente seudonimizada.
d. Medidas de seguridad para tratamiento no automatizado de datos.
i. Control de acceso documental. CECA mantendrá un listado actualizado del personal que tiene autorizado el acceso a documentos con los datos personales, definiendo sus funciones y permisos de acceso, estableciendo mecanismos para evitar que un usuario no autorizado pueda acceder a recursos con derechos distintos a los autorizados.
ii. Gestión de documentos. Todos los documentos o sistemas de almacenamiento de información documental de CECA que contengan datos de carácter personal derivados del presente convenio, deberán permitir identificar el tipo de información que contienen, ser inventariados y solo ser accesibles por personal autorizado. La salida de documentación con datos personales deberá ser autorizada por CECA. Además, el traslado de dicha documentación se realizará conforme a procedimientos establecidos al efecto y deberá observar las medidas de seguridad necesarias para garantizar la disponibilidad, integridad y confidencialidad de la información documental. La destrucción de información documental con datos de carácter personal deberá realizarse mediante mecanismos que garanticen que la información es irrecuperable y no accesible a terceros no autorizados.
iii. Criterio de archivo. CECA definirá el criterio de archivo adecuado para garantizar la localización y consulta de la documentación en los archivos, así como su correcta conservación, tomando como referencia las normas sectoriales aplicables al tratamiento de datos, cuando las hubiere.
iv. Custodia de documentos. Cuando la información documental no se encuentre archivada en el lugar habitual de almacenamiento de la documentación, CECA definirá la normativa aplicable a la gestión documental por usuarios, que en todo caso deberá preservar la integridad, confidencialidad y disponibilidad de la información de carácter personal.
e. Gestión de incidencias de seguridad. El CSD cuenta con un plan de respuesta ante incidentes de seguridad.
Las incidencias se reflejan en un registro en el que consta el tipo de incidencia, momento en el que se ha producido o en su caso, detectado, persona que realiza la notificación, a quién se comunica, los efectos que se hubiesen derivado de la misma y las medidas correctoras aplicadas. Existe un procedimiento para la notificación de las incidencias que afectan a los datos personales que se ajusta en plazos, y contenidos y destinatarios de la notificación, a la legislación en vigor.
El Encargado de tratamiento acredita tener implementado un sistema de gestión de seguridad de la información basado en la ISO 27002, con una política de seguridad y una normativa de acuerdo con las buenas prácticas indicadas en dicha norma y garantiza que éste es de aplicación al servicio prestado. Asimismo, manifiesta haber obtenido la PCI-DSS de protección de datos de tarjeta.
Asimismo, en el caso que fuera necesario, el CSD realizará una evaluación del impacto sobre la protección de los datos personales de las operaciones de tratamiento a realizar por el Encargado de tratamiento.
El Encargado del tratamiento tendrá la obligación de garantizar la implantación de los requisitos de seguridad establecidos en este acuerdo y de comunicar a el CSD cualquier incidente que afecte a la información, documentación y datos personales responsabilidad del CSD, ya sea directa o indirectamente.
Cuando el Encargado del tratamiento o cualquier persona involucrada en los servicios detectara una incidencia que produjera robo, perdida o daño alguno de la información, que una persona hubiera accedido a la misma sin autorización, o que la información hubiera sido utilizada de forma inapropiada, el Encargado del tratamiento deberá comunicarse inmediatamente con el CSD informando de los detalles de la incidencia y en cualquier caso antes del plazo de 40 horas, a través de correo electrónico proad@csd.gob.es acompañando toda la información relevante para la documentación y comunicación de la incidencia, y como mínimo, la siguiente información (siempre que se disponga de ella):
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias.
4. Descripción de las medidas adoptadas o propuestas para remediar la brecha de seguridad de los datos personales incluyendo, en su caso, las medidas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Será responsabilidad del Encargado del tratamiento acometer las acciones de contención y resolución del incidente que sean necesarias.
El CSD, realizará un seguimiento periódico del estado de la resolución del incidente, comprometiéndose el Encargado del tratamiento a responder con los informes que le sean solicitados.
El Encargado del tratamiento deberá llevar, por escrito, un registro de todas las categorías de tratamientos efectuados que refleje:
a) Los datos de contacto tanto del CSD como del Encargado del tratamiento, así como, en su caso, los de sus representantes y delegados de protección de datos.
b) Las categorías de tratamientos realizados en nombre del CSD.
c) Una descripción general de las medidas de índole técnica y organizativa que aplique.
El Encargado asistirá al responsable, mediante la aplicación de aquellas medidas técnicas y organizativas que resulten apropiadas, y de conformidad con la naturaleza de los datos tratados, en relación con las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados y, en particular, sus derechos de acceso, rectificación, supresión («derecho al olvido»), oposición al tratamiento de sus datos, solicitud de la portabilidad de sus datos de carácter personal, limitación del tratamiento, así como a la facultad de no ser objeto de una decisión individual automatizada, incluyendo la elaboración de perfiles.
En el caso de que las personas afectadas ejerzan los derechos mencionados en el apartado anterior ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección indicada por el responsable. La comunicación deberá hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con cualquier otra información que pueda ser relevante para resolver la solicitud.
Una vez cumplida la prestación contractual, el Encargado se compromete a devolver a la misma los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el Encargado del tratamiento.
Asimismo, el Encargado del tratamiento deberá garantizar que al finalizar la relación contractual con cualquier persona con la que desempeñe una función profesional:
– La persona devuelve y no conserva de ninguna forma la información y medios del CSD.
– Confirmar lo anterior de forma manuscrita o bien mediante cualquier medio similar que permita el marco legal vigente.
– La cancelación inmediata de las autorizaciones a los procesos de información.
No obstante lo anterior, el Encargado del tratamiento puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de los servicios.
El CSD, en cumplimiento de su capacidad de control, podrá realizar por su cuenta revisiones que verifiquen el cumplimiento de las políticas y medidas de seguridad exigidas en este acuerdo para la protección de información y datos personales. Las revisiones podrán ser en los sistemas de información e instalaciones de tratamiento de datos del Encargado del tratamiento o bien a través de la recopilación de información que corrobore el cumplimiento por parte del Encargado del tratamiento.
En cualquier caso, el Encargado del tratamiento deberá mantener a disposición del CSD, la documentación (en soporte físico o electrónico) que acredite el cumplimiento de sus obligaciones conforme al acuerdo.
Asimismo, el Encargado de tratamiento deberá acreditar que ha realizado los correspondientes análisis de riesgos y, si procede, las evaluaciones de impacto sobre la protección de datos pertinentes.
A fin de facilitar o incluso evitar la revisión por parte del CSD, el Encargado del tratamiento podrá aportar las oportunas certificaciones cuyos ámbitos de aplicación incluyan los servicios y personal ofrecidos por esta al banco. Si el Encargado del tratamiento decidiera aportar las mencionadas certificaciones, deberá asimismo aportar la documentación pertinente, certificación, ámbito de aplicación, así como presentar los informes de las auditorías a las que de acuerdo con la certificación se encuentra sometida. En caso de que el CSD encontrase incumplimientos de seguridad incompatibles con la prestación del servicio, según el análisis de riesgos realizado por éste, dependiendo de la gravedad de los mismos, podrá requerir al Encargado de tratamiento la resolución inmediata de los problemas detectados mediante la elaboración de un plan de corrección que deberá hacerse efectivo en un plazo determinado, que no podrá exceder de tres meses.
Todo lo anterior, sin perjuicio de la posibilidad de realizar cualesquiera otras auditorías o revisiones a efectos de verificar de otras obligaciones presentes en este acuerdo.
El Encargado del tratamiento se compromete a facilitar al responsable del tratamiento toda aquella información que resulte necesaria para demostrar el cumplimiento de sus obligaciones, e informará al Responsable del tratamiento en relación con su adhesión a un código de conducta aprobado, o su adscripción a cualquier mecanismo de certificación que pueda garantizar el cumplimiento de sus obligaciones en relación con el tratamiento de datos de carácter personal.
Las personas que desempeñan funciones profesionales para el encargado del tratamiento deben ser conscientes de la importancia de la información de CECA tratar la misma de forma segura y estar formados y cualificados en todas y cada una de las fases de proceso de la información, para todas y cada una de las funciones que desempeñen. Estos deberán observar toda la diligencia posible y medidas adecuadas para proteger el proceso de la información en cumplimiento de su deber de buena fe a la que están obligados contractualmente.
Los datos personales de los contactos del Encargado del tratamiento como del responsable del tratamiento serán, a su vez, tratados por cada uno de ellos, en el caso de CECA con domicilio en Madrid, calle Alcalá, n.º 27, y en el caso del CSD con domicilio en calle Martín Fierro, n.º 5, con la finalidad de gestionar la relación con base en la ejecución de prestación de servicios. Ambos dos podrán ejercitar sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individualizadas automatizadas, en el caso de CECA dirigiéndose al Delegado de Protección de Datos a la dirección antes mencionada, indicando como referencia en el sobre Dirección de Cumplimiento Normativo, o bien, a través de la dirección de correo electrónico arco@CECA.es y en el caso del CSD dirigiéndose al responsable de la dirección del PROAD a la dirección antes mencionada, indicando como referencia en el sobre «P.D.» o bien a través de la dirección de correo electrónico proad@csd.gob.es.
El Encargado del tratamiento se obliga a mantener indemne al Responsable del tratamiento frente a cualquier reclamación que pueda ser interpuesta contra ésta por el incumplimiento por el Encargado del tratamiento y/o de sus subcontratistas de lo dispuesto en el presente acuerdo y en la legislación vigente en materia de protección de datos personales y acepta pagar el importe al que, en concepto de sanción, multa, indemnización, daños, perjuicios e intereses pueda ser condenado el Responsable del tratamiento, incluyendo honorarios de abogados, con motivo del citado incumplimiento.
En el marco de una subcontratación de servicios, siempre que la misma esté autorizada previamente por el responsable si el subcontratista último de CECA está situado en un país fuera del ámbito de la UE/EEE y en un país que no tiene declarado el nivel adecuado de protección de datos personales por la Comisión Europea será necesario que garantice que cumple con las garantías adecuadas y/o firmar las cláusulas estándar aprobadas por la Comisión Europea para estos casos. CECA se abstendrá de realizar la transferencia internacional de datos requerida hasta que no se haya obtenido la autorización precisa y se hayan firmado las correspondientes cláusulas.
El Encargado del tratamiento declara encontrarse adherido a la Certificación ISO 9001 en Valores y Depositaría.
El Encargado del tratamiento pondrá a disposición del responsable del Fichero la documentación acreditativa de lo establecido en el apartado anterior.
El presente acuerdo se regirá e interpretará con arreglo a las leyes de España con renuncia a cualquier otro fuero que pudiera corresponderles, se someten a la jurisdicción exclusiva de los Juzgados y Tribunales de la ciudad de Madrid.
En virtud de lo anterior, las partes suscriben por duplicado el presente acuerdo, en Madrid, a ..... de ............ de 20.....
El CSD | CECA |
P. P. | P. P. |
APÉNDICE I
Datos objeto de tratamiento
Categoría de tratamiento | Descripción | Tratamientos | |
---|---|---|---|
Captura. | Proceso de obtención de datos para su almacenamiento y posterior procesado (p.ej.: formularios web, recogida en papel, grabación de audio, voz o vídeo, captación mediante sensores, etc.). | Recogida. | x |
Registro. | ☐ | ||
Clasificación. | Establecimiento de categorías y asignación de datos obtenidos a categorías para proceder a su almacenamiento. | Estructuración. | ☐ |
Categorización. | ☐ | ||
Organización. | x | ||
Conservación. | Mantenimiento de los datos previamente estructurados y puesto a disposición para su uso. | Almacenamiento. | x |
Uso. | Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o no. | Explotación. | x |
Adaptación. | ☐ | ||
Modificación. | ☐ | ||
Extracción. | ☐ | ||
Consulta. | ☐ | ||
Cotejo. | ☐ | ||
Limitación. | ☐ | ||
Comunicación. | Traspaso, revelación o comunicación de datos realizada a un tercero en cualquiera de sus formas. | Entrega a terceros. | ☐ |
Interconexión. | ☐ | ||
Transferencia. | ☐ | ||
Difusión. | ☐ | ||
Destrucción. | Eliminación de datos que puedan estar contenidos en los sistemas, de manera que no puedan ser recuperados de los soportes. | Destrucción. | x |
Categorías de datos personales objeto del tratamiento. En el tratamiento de datos, el proveedor tendrá acceso a las siguientes categorías de datos personales:
Tipología de datos | Detalle de datos | |||
---|---|---|---|---|
Identificativos | [Núm. perso]. | ☐ | NIF/NIE/pasaporte. | x |
Nombre y apellidos. | x | Fecha de nacimiento. | ☐ | |
Sexo. | ☐ | Dirección. | ☐ | |
Mail. | x | Teléfono (fijo o móvil). | ☐ | |
Idioma. | ☐ | Datos de usuario de redes sociales (p.ej. nombres de usuario). | ☐ | |
Financieros | Productos y servicios contratados. | ☐ | Condición de titular/beneficiario/apoderado. | ☐ |
Condición de interviniente. | ☐ | Segmento de CXBK. | ☐ | |
No cliente. | ||||
Categorización MIFID. | ☐ | Historial de pago. | ☐ | |
Scoring. | ☐ | |||
Socioeconómicos | Actividad profesional. | ☐ | Nivel de estudios. | ☐ |
Retribuciones/ingresos. | ☐ | Patrimonio (propiedades). | ☐ | |
Unidad/círculo familiar. | ☐ | Datos fiscales o de tributación. | ☐ | |
Laborales | Datos propios de la relación laboral CXBK / EEGG. | ☐ | Currículum académico / laboral. | ☐ |
Beneficios sociales CXBK. | ☐ | |||
Digitales | ID de dispositivo (IMEI). | ☐ | Historial de navegación. | ☐ |
Dirección IP. | ☐ | ID publicitario. | ☐ | |
Geográficos | Geolocalización. | ☐ | ||
Biométricos | Imagen. | ☐ | Voz. | ☐ |
Huella dactilar. | ☐ | |||
Comportamentales | Propensión al consumo. | ☐ | Gustos. | ☐ |
Aficiones. | ☐ | Intereses. | ☐ | |
Sensibles | Salud. | ☐ | Ideología. | ☐ |
Orientación sexual. | ☐ | |||
Otros (describir) | ................................ | ☐ |
Categorías de interesados afectados. En el tratamiento de datos, el proveedor tendrá acceso a los datos de carácter personal de las siguientes categorías de interesados:
Categorías de interesados | |||||
---|---|---|---|---|---|
Clientes. | X | No clientes. | ☐ | Intervinientes no clientes. | ☐ |
Empleados. | ☐ | Candidatos. | ☐ | Accionistas. | ☐ |
Agentes/prescriptores. | ☐ | Visitas/asistentes a eventos. | ☐ | Representantes/apoderados. | ☐ |
Consejeros. | ☐ | Proveedores. | ☐ |
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid