TRATAMIENTO DE DATOS

ANEXO DE TRATAMIENTO DE DATOS

Durante la ejecución de los servicios (los «Servicios») prestados por Fundació Privada Inform-Instituto para la Formación de jóvenes en la administración de empresas a su clientela (o “Responsable del Tratamiento”), Inform podrá tener acceso a determinadas datos de carácter personal de los cuales la Clientela es la responsable.

Datos de Inform:

• Domicilio: Calle del Pi, 24, Sant Pere de Ribes, Barcelona. 
• NIF: G-61468583.
• Contacto: privacy@inform.es

El presente Anexo («el Anexo») complementa las condiciones acordadas entre Inform y la Clientela y regula el tratamiento de los datos personales derivados de la prestación de los servicios prestados por Inform. 

En cuanto a las disposiciones relativas al tratamiento de datos personales, en caso de conflicto entre otros acuerdos y el presente Anexo, prevalecerán las disposiciones del presente Anexo. 

Cláusulas

1. Definiciones

Los términos «Responsable del Tratamiento«, «Encargado/a del Tratamiento«, «Interesado/a«, «Estado miembro«, «Datos personales«, «tratamiento«, «Violación de la seguridad de los datos personales» y «Autoridad de control» tendrán el mismo significado que en el Reglamento General de Protección de Datos 679/2016 («RGPD»).

2. Objeto y plazo

El presente Anexo regula el tratamiento de los Datos Personales por parte de Inform en virtud de los Servicios respecto a los datos bajo responsabilidad de la Clientela. La duración de este tratamiento será por el periodo durante el cual las Partes cumplan sus obligaciones aplicables en virtud de los Servicios.

Las finalidades, el tipo de Datos Personales y las categorías de Interesados/as son los que se describen a continuación y en los apéndices de este Anexo. 

3. Cumplimiento de la legislación sobre protección de datos  

Cada Parte cumplirá con todas las leyes aplicables relativas a la privacidad y la protección de datos respecto a los Servicios, incluido el Reglamento General de Protección de Datos de la UE 2016/679 («RGPD»), y cualquier legislación que lo modifique o sustituya (colectiva e individualmente, «Leyes de Protección de Datos«).

4. Datos a los cuales se accede y finalidad del tratamiento  

Inform, en su calidad de Encargada del Tratamiento, puede tener acceso al tipo de datos personales y a las categorías de Interesados/as que se describen en el Apéndice I («Datos Personales de la Clientela»). Inform podrá tener acceso a estos datos personales únicamente para las finalidades descritas en el Apéndice I.

5. Derechos y responsabilidades de Inform como Encargada del Tratamiento

Tal como establece el RGPD, Inform, como Encargada del Tratamiento, tendrá que:

1. Tratar los Datos Personales de la Clientela únicamente en base a instrucciones documentadas del/la Responsable del Tratamiento, incluidas las transferencias de Datos Personales de la Clientela a un tercer país u organización internacional, salvo que el Derecho de la Unión o la legislación aplicable de los Estados miembros exija lo contrario.
2. Garantizar que todas las personas autorizadas a tratar los Datos Personales de la Clientela se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad.
3. Adoptar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, incluyendo:

1. La seudonimización y el cifrado de los Datos Personales de la Clientela;
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanente de los sistemas y servicios de tratamiento;
3. La capacidad de restablecer la disponibilidad y el acceso a los Datos Personales de la Clientela en el momento oportuno en caso de incidente físico o técnico;
4. Un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  

4. No recurrir a otro/a Encargado/a del Tratamiento, con las excepciones descritas en las cláusulas 7 y 8.
5. Asistir al/la Responsable del Tratamiento, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los/las interesados/as.
6. Ayudar al/la Responsable del Tratamiento a garantizar el cumplimiento de sus obligaciones, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el/la Encargado/a del Tratamiento.
7. A elección del/la Responsable del Tratamiento, destruir o devolver todos los Datos Personales de la Clientela una vez finalizados los servicios de tratamiento, y destruir todas las copias existentes, salvo que la conservación de estos Datos Personales sea obligatoria en virtud de la legislación de la Unión o de los Estados miembros aplicables.
8. Poner a disposición del/la Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones aquí establecidas, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del/la Responsable del Tratamiento u otros/as auditores/as autorizados por el/la Responsable del Tratamiento.
9. Tratar los Datos Personales de la Clientela por parte del/la Encargado/a del Tratamiento de forma que se garantice que el personal encargado siga las instrucciones del/la Responsable del Tratamiento.
10. Garantizar que el/la Responsable de Privacidad o, en su caso, el/la Delegado/a de Protección de Datos, participa de manera adecuada y oportuna en todos los asuntos relacionados con la protección de los Datos Personales de la Clientela.
11. Adherirse a un código de conducta pertinente aprobado por la Comisión u otra autoridad competente, si procede.
12. Mantener un registro de las actividades de tratamiento en el caso de tratamientos de Datos Personales de la Clientela que pueda suponer un riesgo para los derechos y libertades del/la interesado/a y/o de forma no ocasional, o que impliquen el tratamiento de categorías especiales de datos y/o datos relativos a condenas e infracciones.
13. Obligaciones del/la Responsable del tratamiento

La Clientela, como Responsable del tratamiento de los datos, se compromete a:

1. Facilitar a los/las Interesados/as la información sobre el tratamiento de sus datos.
2. Tratar los datos de los/las Interesados/as a partir de una base legítima.
3. Entregar al/la Encargado/a del Tratamiento los Datos Personales necesarios para la prestación de los servicios objeto de este. En particular (pero sin limitación), los datos del Apéndice I.
4. Comunicar a Inform cuanto antes mejor cualquier modificación en los Datos personales tratados.
5. Cumplir con las obligaciones que le sean exigidas por su condición de acuerdo con las Leyes de Protección de Datos. 
6. Ejercicio de los derechos de los/las interesados/as

Si un/a Interesado/a dirige alguna solicitud o ejerce alguno de los derechos establecidos en las Leyes de Protección de Datos, el/la Responsable y/o el/la Encargado/a del Tratamiento tendrán que facilitarle la información sobre las actuaciones solicitadas y realizadas, sin demora y, a muy tardar, en el plazo de un mes a partir de la recepción de la solicitud, el cual podrá prorrogarse un máximo de dos meses en caso de ser necesario, teniendo en cuenta la complejidad de la solicitud y el número de las solicitudes.

En el mismo sentido, pero en el supuesto de que el/la Responsable y/o el/la Encargado/a del Tratamiento no dé curso a la solicitud del/la interesado/a, lo informará sin demora, y a muy tardar, en el mes de la recepción de la solicitud, de las razones por las cuales no ha actuado y de la posibilidad de presentar una reclamación ante una Autoridad de Control y de interponer recurso judicial. La respuesta a la solicitud al ejercicio de derecho se realizará en el mismo formato que haya utilizado el/la interesado/a, salvo que solicite que se proceda de otro modo.

8. Subcontratación

El/la Encargado/a del Tratamiento no puede proporcionar acceso a los Datos Personales de la Clientela a terceros/as diferentes de los que la Clientela autorice de manera expresa y por escrito en el Apéndice II. Inform asegura que, y en este caso, ha firmado un acuerdo con cada subcontratado/a mencionado en el Apéndice II, que sea suficiente de acuerdo con las disposiciones de este Anexo y las Leyes de Protección de Datos.  

9. Transferencia internacional de Datos Personales de la Clientela 

El/la Encargado/a del Tratamiento no puede realizar ninguna transferencia internacional de los Datos Personales de la Clientela, sin su autorización expresa, con la excepción de las transferencias a los/las subcontratistas internacionales mencionados/as en el Apéndice II, siempre que se firme un acuerdo con las garantías contractuales apropiadas con cada uno de ellos, según el prescrito por las Leyes de Protección de Datos.

10.  Violación de la seguridad de los datos personales 

Cuando exista una instrucción de la autoridad de control, un desarrollo legislativo nacional que regule estas comunicaciones o un acto delegado, en caso de una Violación de la seguridad de los Datos Personales de la Clientela, el/la Encargado/a del Tratamiento notificará al/la Responsable del Tratamiento de todas las Violaciones de seguridad de estos datos sin más dilación indebida y, de ser posible, a más tardar 24 horas después de que la violación haya ocurrido.

11.  Resolución 

La resolución de los Servicios entre el/la Responsable del Tratamiento y el/la Encargado/a del Tratamiento, obligará a este último a eliminar los Datos Personales de la Clientela facilitados por el/la Responsable del Tratamiento, y conservar estos datos solo y exclusivamente cuando exista una obligación legal de conservación. Una vez transcurrido el plazo establecido para cubrir las responsabilidades legales, los datos personales tendrán que ser destruidos o devueltos al/la Responsable del Tratamiento, así como cualquier apoyo o documento en que conste algún dato personal de este. 

Fundació Inform     

Ana María Andreu Vázquez

Directora

Apéndice I

1. Interesados/as, categorías de datos y finalidades.

Interesados/as	Categorías de datos
Personas usuarias Autorizadas de los Centros (alumnado)	Datos de Identificación; Datos de uso de la plataforma; Dirección IP
Personas usuarias Autorizadas de los Centros (Profesorado)	Datos de Identificación; Datos de uso de la plataforma; Dirección IP

Podrán añadirse otros datos a la lista, previo aviso y aprobación con la Clientela. 

2. Naturaleza del tratamiento: 

☐Divulgación☒Recogida☐ Grabación☒ Organización☒ Estructuración☐ Modificación☒ Almacenamiento

☐ Extracción ☒ Consulta☐ Comunicación por transmisión☐ Emparejamiento o interconexión☐ Limitación☒ Borrado☒ Uso

3. Finalidades: Prestación del servicio por parte de Inform al/la Encargado/a del Tratamiento.

Apéndice II

Sub-encargados/as

Sub-encargado/as	Servicio	Territorio	Salvaguarda
Orange Catalunya Xarxes de Telecomunicacions SAU	Alojamiento de los datos de las personas usuarias	España	Contrato de tratamiento de datos personales
Amazon Web Services	Alojamiento de la plataforma SEFED	Irlanda	Contrato de tratamiento de datos personales
Tecnologies Avançades Control Firm, SL	Gestión informática	España	Contrato de tratamiento de datos personales
CodiTramuntana, S.L.	Gestión de la Plataforma Empresaula y soporte sobre SEFED	España	Contrato de tratamiento de datos personales

Esta lista podrá ampliarse mediante notificación de Inform al Centro.