Tractament de dades

Durant l’execució dels serveis (els “Serveis”) prestats per part de la Fundació Privada Inform-Institut per a la Formació de joves vers l’administració d’empreses (“Inform” o el “Encarregat/da del Tractament”) a la seva Clientela (la “Clientela” o “Responsable del Tractament”), Inform podrà tenir accés a determinades dades de caràcter personal de les quals la Clientela és responsable.

Dades d’Inform:

• Domicili: Carrer del Pi, 24, Sant Pere de Ribes, Barcelona
• NIF: G-61468583
• Contacte: privacy@inform.es

El present Annex (“l’Annex”) complementa les condicions acordades entre Inform i la Clientela i regula el tractament de les dades personals derivats de la prestació dels serveis prestats per Inform. 

Pel que fa a les disposicions relatives al tractament de dades personals, en cas de conflicte entre altres acords i el present Annex, prevaldran les disposicions del present Annex. 

Clàusules

1. Definicions

Els termes “Responsable del Tractament“, “Encarregat/da del Tractament“, “Interessat/da“, “Estat membre“, “Dades personals“, “tractament“, “Violació de la seguretat de les dades personals” i “Autoritat de control” tindran el mateix significat que en el Reglament General de Protecció de Dades 679/2016 (“RGPD“).

2. Objecte i termini

El present Annex regula el tractament de les Dades Personals per part d’Inform en virtut dels Serveis respecte a les dades sota responsabilitat de la Clientela. La durada d’aquest tractament serà pel període durant el qual les Parts compleixin les seves obligacions aplicables en virtut dels Serveis.

Les finalitats, el tipus de Dades Personals i les categories d’Interessats/des són els que es descriuen a continuació i en els apèndixs d’aquest Annex. 

3. Compliment de la legislació sobre protecció de dades  

Cada Part complirà amb totes les lleis aplicables relatives a la privacitat i la protecció de dades respecte als Serveis, inclòs el Reglament General de Protecció de Dades de la UE 2016/679 (“RGPD”), i qualsevol legislació que ho modifiqui o substitueixi (col·lectiva i individualment, “Lleis de Protecció de Dades“).

4. Dades a les quals s’accedeix i finalitat del tractament 

Inform, en la seva qualitat d’Encarregada del Tractament, pot tenir accés al tipus de dades personals i a les categories d’Interessats/des que es descriuen en l’Apèndix I (“Dades Personals de la Clientela”). Inform podrà tenir accés a aquestes dades personals únicament per a les finalitats descrites en l’Apèndix I.

5. Drets i responsabilitats d’Inform com a Encarregada del Tractament

Tal com estableix el RGPD, Inform, com a Encarregada del Tractament, haurà de:

1. Tractar les Dades Personals de la Clientela únicament sobre la base d’instruccions documentades del/la Responsable del Tractament, incloses les transferències de Dades Personals de la Clientela a un tercer país o organització internacional, tret que el Dret de la Unió o la legislació aplicable dels Estats membres exigeixi el contrari.
2. Garantir que totes les persones autoritzades a tractar les Dades Personals de la Clientela s’han compromès a respectar la confidencialitat o estan subjectes a una obligació de confidencialitat. 
3. Adoptar totes les mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat al risc del tractament, incloent:

1. La pseudonimizació i el xifratge de les Dades Personals de la Clientela;
2. La capacitat de garantir la confidencialitat, integritat, disponibilitat i resistència permanent dels sistemes i serveis de tractament;
3. La capacitat de restablir la disponibilitat i l’accés a les Dades Personals de la Clientela en el moment oportú en cas d’incident físic o tècnic;
4. Un procés per a comprovar, avaluar i valorar periòdicament l’eficàcia de les mesures tècniques i organitzatives per a garantir la seguretat del tractament.  

4. No recórrer a un altre Encarregat/da del Tractament, amb les excepcions descrites en les clàusules 7 i 8.
5. Assistir al/la Responsable del Tractament, tenint en compte la naturalesa del tractament, mitjançant mesures tècniques i organitzatives apropiades, sempre que sigui possible, perquè pugui complir amb la seva obligació de respondre a les sol·licituds d’exercici dels drets dels interessats/des.
6. Ajudar el/la Responsable del Tractament a garantir el compliment de les seves obligacions, tenint en compte la naturalesa del tractament i la informació de què disposa l’Encarregat/da del Tractament.
7. A elecció del/la Responsable del Tractament, destruir o retornar totes les Dades Personals de la Clientela una vegada finalitzats els serveis de tractament, i destruir totes les còpies existents, tret que la conservació d’aquestes Dades Personals sigui obligatòria en virtut de la legislació de la Unió o dels Estats membres aplicables.
8. Posar a disposició del/la Responsable del Tractament tota la informació necessària per a demostrar el compliment de les obligacions aquí establertes, així com permetre i contribuir a la realització d’auditories, incloses inspeccions, per part del/la Responsable del Tractament o altres auditors/es autoritzats/des pel Responsable del Tractament.
9. Tractar les Dades Personals de la Clientela per part de l’Encarregat/da del Tractament de manera que es garanteixi que el personal encarregat segueixi les instruccions del/la Responsable del Tractament.
10. Garantir que el/la Responsable de Privacitat o, en el seu cas, el/la Delegat/da de Protecció de Dades, participi de manera adequada i oportuna en tots els assumptes relacionats amb la protecció de les Dades Personals de la Clientela.
11. Adherir-se a un codi de conducta pertinent aprovat per la Comissió o una altra autoritat competent, si escau.
12. Mantenir un registre de les activitats de tractament en el cas de tractaments de Dades Personals de la Clientela que pugui suposar un risc per als drets i llibertats de l’interessat/da i/o de forma no ocasional, o que impliquin el tractament de categories especials de dades i/o dades relatives a condemnes i infraccions.
13. Obligacions del/la Responsable del tractament

La Clientela, com a Responsable del tractament de les dades, es compromet a:

1. Facilitar als Interessats/des la informació sobre el tractament de les seves dades.
2. Tractar les dades dels Interessats/des a partir d’una base legítima 
3. Lliurar a l’Encarregat/da del Tractament les Dades Personals necessàries per a la prestació dels serveis objecte d’aquest. En particular (però sense limitació), les dades de l’Apèndix I. 
4. Comunicar a Inform com més aviat millor qualsevol modificació en les Dades Personals tractades. 
5. Complir amb les obligacions que li siguin exigides per la seva condició d’acord amb les Lleis de Protecció de Dades. 
6. Exercici dels drets dels interessats/des

Si un Interessat/da dirigeix alguna sol·licitud o exerceix algun dels drets establerts en les Lleis de Protecció de Dades, el/la Responsable i/o l’Encarregat/da del Tractament hauran de facilitar-li la informació sobre les actuacions sol·licitades i realitzades, sense demora i, com a molt tard, en el termini d’un mes a partir de la recepció de la sol·licitud, el qual podrà prorrogar-se un màxim de dos mesos en cas necessari, tenint en compte la complexitat de la sol·licitud i el número de les sol·licituds.

En el mateix sentit, però en el cas que el/la Responsable i/o l’Encarregat/da del Tractament no doni curs a la sol·licitud de l’interessat/da, l’informarà sense demora, i com a molt tard al mes de la recepció de la sol·licitud, de les raons per les quals no ha actuat i de la possibilitat de presentar una reclamació davant una Autoritat de Control i d’interposar recurs judicial. La resposta a la sol·licitud a l’exercici de dret es realitzarà en el mateix format que hagi utilitzat l’interessat/da, tret que sol·liciti que es procedeixi d’una altra manera.

8. Subcontractació

L’Encarregat/da del Tractament no pot proporcionar accés a les Dades Personals de la Clientela a tercers diferents dels que la Clientela autoritzi de manera expressa i per escrit en l’Apèndix II. Inform assegura que, i en aquest cas, ha signat un acord amb cada subcontractat esmentat en l’Apèndix II, que sigui suficient d’acord amb les disposicions d’aquest Annex i les Lleis de Protecció de Dades.  

9. Transferència internacional de Dades Personals de la Clientela

L’Encarregat/da del Tractament no pot realitzar cap transferència internacional de les Dades Personals de la Clientela, sense la seva autorització expressa, amb l’excepció de les transferències als sub-contractistes internacionals esmentats en l’Apèndix II, sempre que se signi un acord amb les garanties contractuals apropiades amb cadascun d’ells, segons el prescrit per les Lleis de Protecció de Dades.

10.  Violació de la seguretat de les dades personals 

Quan existeixi una instrucció de l’autoritat de control, un desenvolupament legislatiu nacional que reguli aquestes comunicacions o un acte delegat, en cas d’una Violació de la seguretat de les Dades Personals de la Clientela, l’Encarregat/da del Tractament notificarà al Responsable del Tractament de totes les Violacions de seguretat d’aquestes dades sense dilació indeguda i, de ser possible, a tot tardar 24 hores després que la violació hagi ocorregut.

11.  Resolució 

La resolució dels Serveis prestats pel/la Responsable del Tractament a l’Encarregat/da del Tractament, obligarà aquest últim a eliminar les Dades Personals de la Clientela facilitats pel Responsable del Tractament, i conservar aquestes dades només i exclusivament quan existeixi una obligació legal de conservació. Una vegada transcorregut el termini establert per a cobrir les responsabilitats legals, les dades personals hauran de ser destruïdes o retornades al/la Responsable del Tractament, així com qualsevol suport o document en què consti alguna dada personal d’aquest. 

Fundació Inform     

Ana María Andreu Vázquez

Directora

Apèndix I

1. Interessats/des, categories de dades i finalitats

Interessats/des	Categories de dades
Persones usuàries Autoritzades dels Centres (alumnat)	Dades d’Identificació; Dades d’ús de la plataforma; Adreça IP
Persones usuàries Autoritzades dels Centres (Professorat)	Dades d’Identificació; Dades d’ús de la plataforma; Adreça IP

Podran afegir-se altres dades a la llista, previ avís i aprovació amb la Clientela. 

2. Naturalesa del tractament: 

☐Divulgació☒Recollida☐ Gravació☒ Organització☒ Estructuració☐ Modificació☒ Emmagatzematge

☐ Extracció ☒ Consulta☐ Comunicació per transmissió☐ Emparellament o interconnexió☐ Limitació☒ Esborrat☒ Ús

3. Finalitats: Prestació del servei per part d’Inform a l’Encarregat/da del Tractament 

Apèndix II

Sub-encarregats/des

Sub-encarregat/des	Servei	Territori	Salvaguarda
Orange Catalunya Xarxes de Telecomunicacions SAU	Allotjament de les dades de les persones usuàries	Espanya	Contracte de tractament de dades personals
Amazon Web Services	Allotjament de la plataforma SEFED.	Irlanda	Contracte de tractament de dades personals
Tecnologies Avançades Control Firm, SL	Gestió informàtica	Espanya	Contracte de tractament de dades personals
CodiTramuntana, S.L.	Gestió de la Plataforma Empresaula i suport sobre SEFED	Espanya	Contracte de tractament de dades personals

Aquesta llista podrà ampliar-se mitjançant notificació d’Inform al Centre.