III. Otras disposiciones. MINISTERIO DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES. Comunidades autónomas. Convenio. (BOE-A-2024-70)
Resolución de 21 de diciembre de 2023, de la Presidencia de la Agencia Estatal del Consejo Superior de Investigaciones Científicas, M.P., por la que se publica el Convenio entre el Institut d'Investigació Biomèdica de Bellvitge (IDIBELL) y entidades participantes en el proyecto "Integración de las características moleculares, genómicas, morfológicas y ambientales para mejorar el diagnóstico y tratamiento de precisión en Enfermedades Pulmonares Intersticiales Difusas fibrosantes (Precision-EPID)", ejecutado con cargo a los fondos Next Generation EU, que financian las actuaciones del Mecanismo de Recuperación y Resiliencia.
44 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 1
Lunes 1 de enero de 2024
Sec. III. Pág. 288
disposición en materia de protección de datos de la Unión o de los estados miembros, el
encargado debe informar inmediatamente al responsable.
c) Mantener, por escrito, un registro de todas las categorías de actividades de
tratamiento realizadas por cuenta del responsable, que contenga:
a. El nombre y los datos de contacto de las personas encargadas así como del
delegado de protección de datos.
b. Las categorías de tratamiento realizados por cuenta de IDIBELL.
c. En su caso, las transferencias de datos personales a un tercer país u
organización internacional, incluida la identificación de este país o esta organización
internacional, y en su caso, las transferencias indicadas en el artículo 49, apartado 1,
párrafo segundo del RGPD, la documentación que acredite disponer de medidas
adecuadas.
d. Una descripción general de las mesuras técnicas y organizativas de seguridad
relativas a:
d) Guardar bajo su control y custodia los datos personales de los que es
responsable IDIBELL. No comunicar los datos a terceras personas, excepto que tenga
autorización expresa del responsable del tratamiento, en los supuestos legalmente
admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento
del mismo responsable, siguiendo las instrucciones del responsable.
e) Garantizar la formación necesaria en materia de protección de datos personales
de las personas autorizadas para tratar datos de carácter personal.
f) Dar apoyo al IDIBELL en la realización de análisis de riesgos, evaluaciones de
impacto, cuando sea necesario.
g) Dar apoyo al IDIBELL en la realización de consultas previas a la autoridad de
control, cuando sea necesario.
h) Poner a disposición del IDIBELL toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en este convenio, así como en la
normativa vigente en materia de protección de datos personales.
i) Permitir y contribuir a la realización de auditorías, incluidas las inspecciones
realizadas por parte de IDIBELL, o de cualquier otro auditor autorizado por el
mencionado responsable, según las condiciones establecidas en este convenio.
j) Designar, cuando proceda, un delegado de protección de datos, y comunicar su
identidad y datos de contacto al IDIBELL.
k) Cumplir con todas aquellas otras obligaciones incluidas en los siguientes
apartados del presente anexo.
Cuarta.
Quinta.
El Encargado del Tratamiento tendrá que notificar al IDIBELL a través de la dirección
electrónica dataprotection@idibell.cat, sin dilación indebida, y en cualquier caso en el
término máximo de 24 horas (un día natural), las violaciones de la seguridad de los datos
personales a su cargo de las que tenga conocimiento, incluyendo, toda la información
relevante para la documentación y comunicación de la incidencia. Si no fuese posible
facilitar la información simultáneamente, la información se facilitará de forma gradual sin
dilación indebida, y cuando esté disponible. En estos casos, el Encargado del
cve: BOE-A-2024-70
Verificable en https://www.boe.es
El Encargado del Tratamiento se obliga a garantizar la seguridad de los datos de
carácter personal a los que acceda durante el desarrollo del proyecto, adoptando las
medidas técnicas y organizativas legalmente exigibles, apropiadas para garantizar un
nivel de seguridad adecuado al riesgo, que eviten su alteración, pérdida, tratamiento o
acceso no autorizado, teniendo en consideración el estado de la tecnología en cada
momento, la naturaleza de los datos, los riesgos a los que están expuestos, ya
provengan de la acción humana o del propio medio físico o natural.
Núm. 1
Lunes 1 de enero de 2024
Sec. III. Pág. 288
disposición en materia de protección de datos de la Unión o de los estados miembros, el
encargado debe informar inmediatamente al responsable.
c) Mantener, por escrito, un registro de todas las categorías de actividades de
tratamiento realizadas por cuenta del responsable, que contenga:
a. El nombre y los datos de contacto de las personas encargadas así como del
delegado de protección de datos.
b. Las categorías de tratamiento realizados por cuenta de IDIBELL.
c. En su caso, las transferencias de datos personales a un tercer país u
organización internacional, incluida la identificación de este país o esta organización
internacional, y en su caso, las transferencias indicadas en el artículo 49, apartado 1,
párrafo segundo del RGPD, la documentación que acredite disponer de medidas
adecuadas.
d. Una descripción general de las mesuras técnicas y organizativas de seguridad
relativas a:
d) Guardar bajo su control y custodia los datos personales de los que es
responsable IDIBELL. No comunicar los datos a terceras personas, excepto que tenga
autorización expresa del responsable del tratamiento, en los supuestos legalmente
admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento
del mismo responsable, siguiendo las instrucciones del responsable.
e) Garantizar la formación necesaria en materia de protección de datos personales
de las personas autorizadas para tratar datos de carácter personal.
f) Dar apoyo al IDIBELL en la realización de análisis de riesgos, evaluaciones de
impacto, cuando sea necesario.
g) Dar apoyo al IDIBELL en la realización de consultas previas a la autoridad de
control, cuando sea necesario.
h) Poner a disposición del IDIBELL toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en este convenio, así como en la
normativa vigente en materia de protección de datos personales.
i) Permitir y contribuir a la realización de auditorías, incluidas las inspecciones
realizadas por parte de IDIBELL, o de cualquier otro auditor autorizado por el
mencionado responsable, según las condiciones establecidas en este convenio.
j) Designar, cuando proceda, un delegado de protección de datos, y comunicar su
identidad y datos de contacto al IDIBELL.
k) Cumplir con todas aquellas otras obligaciones incluidas en los siguientes
apartados del presente anexo.
Cuarta.
Quinta.
El Encargado del Tratamiento tendrá que notificar al IDIBELL a través de la dirección
electrónica dataprotection@idibell.cat, sin dilación indebida, y en cualquier caso en el
término máximo de 24 horas (un día natural), las violaciones de la seguridad de los datos
personales a su cargo de las que tenga conocimiento, incluyendo, toda la información
relevante para la documentación y comunicación de la incidencia. Si no fuese posible
facilitar la información simultáneamente, la información se facilitará de forma gradual sin
dilación indebida, y cuando esté disponible. En estos casos, el Encargado del
cve: BOE-A-2024-70
Verificable en https://www.boe.es
El Encargado del Tratamiento se obliga a garantizar la seguridad de los datos de
carácter personal a los que acceda durante el desarrollo del proyecto, adoptando las
medidas técnicas y organizativas legalmente exigibles, apropiadas para garantizar un
nivel de seguridad adecuado al riesgo, que eviten su alteración, pérdida, tratamiento o
acceso no autorizado, teniendo en consideración el estado de la tecnología en cada
momento, la naturaleza de los datos, los riesgos a los que están expuestos, ya
provengan de la acción humana o del propio medio físico o natural.
