III. Otras disposiciones. UNIVERSIDADES. Encomienda de gestión. (BOE-A-2024-2030)
Resolución de 23 de enero de 2024, de la Universidad Nacional de Educación a Distancia, por la que se publica el Acuerdo de encomienda de gestión a la Fundación UNED, para la gestión material de acciones formativas.
8 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Viernes 2 de febrero de 2024
Sec. III. Pág. 13674
Tercera. Obligaciones del encargado.
Legislación aplicable: el Encargado estará obligado a someterse en todo caso a la
normativa nacional y de la Unión Europea en materia de protección de datos.
Finalidad: el Encargado utilizará los datos personales sólo para la finalidad objeto de
este tratamiento. En ningún caso podrá utilizar los datos para fines propios.
Declaración previa: La empresa adjudicataria tiene la obligación de presentar, antes de
la formalización del contrato, una declaración en la que ponga de manifiesto dónde van a
estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los
mismos. Asimismo, estará obligado a comunicar cualquier cambio que se produzca, a lo
largo de la vida del contrato, de la información facilitada en la declaración.
Subcontratación: los licitadores tendrán la obligación de indicar en su oferta, si tienen
previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o
el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o
técnica, de los subcontratistas a los que se vaya a encomendar su realización.
El Encargado no podrá subcontratar, ni total ni parcialmente, ninguna de las
prestaciones que formen parte del objeto de este contrato que comporten el tratamiento
de datos personales sin autorización previa y por escrito del Responsable.
Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este
hecho se deberá comunicar previamente y por escrito al Responsable, con antelación
suficiente, indicando los aspectos que se pretenden subcontratar e identificando de
forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La
subcontratación deberá ser autorizada por escrito por el Responsable, siempre antes de
su inicio y deberá regirse con lo estipulado en el artículo 28.4 del RGPD.
Instrucciones del Responsable: El Encargado tratará los datos personales
únicamente siguiendo instrucciones documentadas del Responsable.
Transferencia internacional: Si el Encargado debe transferir datos personales a un
tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los
Estados miembros que le sea aplicable, informará por escrito al Responsable de esa
exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones
importantes de interés público.
Confidencialidad: El Encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del
presente encargo, incluso después de que finalice el mismo.
El Encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia
expresa de la naturaleza y extensión de esta obligación.
El Encargado mantendrá a disposición del Responsable la documentación
acreditativa del cumplimiento de esta obligación.
Medidas de seguridad: El Encargado con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware) realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la
implantación de mecanismos adecuados a los riesgos detectados tal y como se describe en
el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes
de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
cve: BOE-A-2024-2030
Verificable en https://www.boe.es
Núm. 29
Viernes 2 de febrero de 2024
Sec. III. Pág. 13674
Tercera. Obligaciones del encargado.
Legislación aplicable: el Encargado estará obligado a someterse en todo caso a la
normativa nacional y de la Unión Europea en materia de protección de datos.
Finalidad: el Encargado utilizará los datos personales sólo para la finalidad objeto de
este tratamiento. En ningún caso podrá utilizar los datos para fines propios.
Declaración previa: La empresa adjudicataria tiene la obligación de presentar, antes de
la formalización del contrato, una declaración en la que ponga de manifiesto dónde van a
estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los
mismos. Asimismo, estará obligado a comunicar cualquier cambio que se produzca, a lo
largo de la vida del contrato, de la información facilitada en la declaración.
Subcontratación: los licitadores tendrán la obligación de indicar en su oferta, si tienen
previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o
el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o
técnica, de los subcontratistas a los que se vaya a encomendar su realización.
El Encargado no podrá subcontratar, ni total ni parcialmente, ninguna de las
prestaciones que formen parte del objeto de este contrato que comporten el tratamiento
de datos personales sin autorización previa y por escrito del Responsable.
Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este
hecho se deberá comunicar previamente y por escrito al Responsable, con antelación
suficiente, indicando los aspectos que se pretenden subcontratar e identificando de
forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La
subcontratación deberá ser autorizada por escrito por el Responsable, siempre antes de
su inicio y deberá regirse con lo estipulado en el artículo 28.4 del RGPD.
Instrucciones del Responsable: El Encargado tratará los datos personales
únicamente siguiendo instrucciones documentadas del Responsable.
Transferencia internacional: Si el Encargado debe transferir datos personales a un
tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los
Estados miembros que le sea aplicable, informará por escrito al Responsable de esa
exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones
importantes de interés público.
Confidencialidad: El Encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del
presente encargo, incluso después de que finalice el mismo.
El Encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia
expresa de la naturaleza y extensión de esta obligación.
El Encargado mantendrá a disposición del Responsable la documentación
acreditativa del cumplimiento de esta obligación.
Medidas de seguridad: El Encargado con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware) realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la
implantación de mecanismos adecuados a los riesgos detectados tal y como se describe en
el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes
de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
cve: BOE-A-2024-2030
Verificable en https://www.boe.es
Núm. 29
