ANEXO X TRATAMIENTO DATOS EN EL CONTRATO.docx
Documento Adicional
Ver licitación
{# full_text keeps real newlines; whitespace-pre-wrap renders them
(so no |linebreaks filter, which would double the spacing). #}
**ANEXO X.- INFORMACIÓN TRATAMIENTO DE DATOS PERSONALES EN EL CONTRATO.**
La empresa adjudicataria, como encargada del tratamiento, por cuenta de la Diputación Provincial de Almería, responsable del tratamiento, realizará el tratamiento de datos personales necesarios para EL SUMINISTRO (SUSCRIPCIÓN), CON IMPLANTACIÓN Y SOPORTE, Y DEL SERVICIO DE ALOJAMIENTO EN LA NUBE (CLOUD HOSTING), DE UNA PLATAFORMA DE ADMINISTRACIÓN ELECTRÓNICA PARA LOS AYUNTAMIENTOS DE LA PROVINCIA, LA PROPIA DIPUTACIÓN DE ALMERÍA Y OTROS ENTES DEPENDIENTES DE LA RED PROVINCIAL.
El tratamiento de datos personales se realizará en relación a las siguientes especificaciones:
1. **Finalidad.**
El acceso por parte del encargado de tratamiento a los datos de carácter personal facilitados por la Diputación de Almería tiene la exclusiva finalidad de llevar a cabo la gestión del servicio descrito en el párrafo anterior.
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la Diputación de Almería, responsable del tratamiento, pone a disposición de la empresa, encargada del tratamiento, la información que se describe en la/s actividad/es de tratamiento que se enumera/n a continuación, incluidas en el “Registro de Actividades de Tratamiento de la Diputación de Almería”, aprobado por Resolución de Presidencia núm. 1575 de 4 de junio de 2021.
| | | |
| --- | --- | --- |
| ACTIVIDAD DE TRATAMIENTO | FINALIDAD | TIPOS DE DATOS |
| El contratista actuará como encargado del tratamiento por cuenta del responsable (Diputación o los ayuntamientos), realizando operaciones de almacenamiento, consulta, migración, soporte y acceso a los datos personales contenidos en los expedientes, registros, usuarios, documentos, etc. relacionados con la tramitación administrativa electrónica | Los datos personales cedidos al contratista se utilizarán exclusivamente para implantar, mantener y dar soporte técnico a la plataforma de administración electrónica y asegurar la operatividad de todos sus módulos y servicios (sede electrónica, registro, gestor de expedientes, notificaciones, facturación, etc.). No podrán ser utilizados para ninguna otra finalidad distinta de la ejecución del contrato | Datos identificativos: nombre, apellidos, DNI/NIE, domicilio, datos de contacto, etc. **Datos relativos a procedimientos administrativos**: información asociada a expedientes, solicitudes, comunicaciones, notificaciones, etc. * **Datos económicos**: en los casos de facturación electrónica y otros procedimientos económicos. |
El encargado utilizará los datos personales objeto de tratamiento, o los que se recopilen en la ejecución del mismo, sólo **para la finalidad** prevista en el encargo. En ningún caso podrá utilizar los datos para fines propios.
El encargado accederá a más información a través de la página Web de la Diputación de Almería, en el apartado [“Privacidad”](http://www.dipalme.org/Servicios/cmsdipro/index.nsf/contenidos.xsp?p=dipalme&ref=politica_privacidad) o a través del siguiente enlace:
<https://app.dipalme.org/proDatos/registros/registrosActRespConsulta.zul?id=24>
1. **Tratamiento de datos personales**
Las acciones de tratamiento de datos a realizar serán las siguientes:
| | | | | | |
| --- | --- | --- | --- | --- | --- |
| **Tratamiento a realizar** | | | | | |
| Recogida |  |  | Registro |  |  |
| Estructuración |  |  | Modificación |  |  |
| Conservación |  |  | Extracción |  |  |
| Consulta |  |  | Comunicación por transmisión |  |  |
| Difusión |  |  | Interconexión |  |  |
| Cotejo |  |  | Limitación |  |  |
| Organización |  |  | Utilización |  |  |
| Supresión |  |  | Destrucción |  |  |
| Digitalización |  |  | Comunicación |  |  |
| Otros | | | | | |
El acceso o tratamiento de datos se realizará a través de:
1. Acceso a través de la Plataforma
El contratista accede a los datos a través de la propia plataforma de administración electrónica, mediante cuentas de usuario con permisos restringidos y controlados.
El acceso solo se permite cuando es necesario para realizar tareas de implantación, soporte técnico, mantenimiento, actualización, migración, recuperación ante incidentes o auditoría del sistema.
2. Acceso remoto y seguro
El acceso del personal técnico del contratista se realiza de forma remota y segura, empleando conexiones cifradas y autenticación fuerte.
3. Control de acceso y trazabilidad
El sistema exige autenticación individualizada, de forma que cada acceso queda registrado con la identidad del usuario, fecha, hora, dirección IP y tipo de operación realizada.
4. Acceso físico y lógico a los datos
El acceso físico a los servidores y centros de datos está restringido, videovigilado y controlado.
El acceso lógico (digital) está protegido por cortafuegos, sistemas de detección de intrusiones, permisos a nivel de sistema operativo y aplicaciones, y cumplimiento de normativas como el Esquema Nacional de Seguridad (nivel ALTO).
1. **Deber de información.**
* Corresponde a la Diputación de Almería la responsabilidad de facilitar el derecho de información en el momento de la recogida de los datos.
1. **Subcontratación de prestaciones que comporten tratamiento de datos personales.**
* La entidad adjudicataria no subcontratará ninguna de las prestaciones que comporten tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de las actuaciones del encargado.
2. **Destino de los datos al finalizar el contrato.**
Una vez finalice el presente contrato, el encargado del tratamiento deberá:
* Devolver a la Diputación de Almería los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.
No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
1. **Cumplimiento normativa Protección de datos.**
El adjudicatario aportará de la firma del contrato alguno de los siguientes requisitos:
* + - * 1. Informe o certificación, realizada por empresa especializada en auditorías de protección de datos, sobre que la entidad adjudicataria cumple con la normativa en materia de Protección de Datos.
2. Declaración responsable de que cumple normativa de Protección de datos (Ver “Declaración Responsable”).
1. **Obligaciones del Responsable del Tratamiento.**Corresponde al responsable del tratamiento:
* + 1. Entregar al encargado del tratamiento los datos necesarios y descritos en la Actividad de Tratamiento correspondiente
2. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado del tratamiento.
3. Realizar las consultas previas que corresponda.
4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado del tratamiento.
5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.