Cuarta. Obligaciones del Encargado y Subencargado del Tratamiento.
A los efectos del encargo del tratamiento se cumplirán las disposiciones establecidas en el artículo 28.3 del RGPD, incluyendo:
1. El Encargado del Tratamiento informará lo antes posible al Responsable del Tratamiento si considera que, en su opinión o porque así se lo haya comunicado el Subencargado del Tratamiento, alguna de las instrucciones del Responsable del Tratamiento infringe el RGPD, la Ley Orgánica 3/2018, de 5 de diciembre o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros.
2. El Encargado y Subencargado del Tratamiento, en lo relativo al Tratamiento indicado, asumen las siguientes obligaciones:
a) Acceder y tratar a los datos de carácter personal responsabilidad del Responsable del Tratamiento únicamente cuando sea necesario para el buen desarrollo de los servicios objeto del Convenio.
b) Utilizar los datos personales de forma reservada de acuerdo a las instrucciones proporcionadas por el Responsable del Tratamiento conforme a lo establecido en la normativa aplicable.
c) En caso de que el tratamiento incluya la recogida de datos personales en nombre y por cuenta del Responsable del Tratamiento, el Encargado del Tratamiento y el Subencargado del Tratamiento deberán seguir los procedimientos e instrucciones documentadas que, a estos efectos, reciban del Responsable del Tratamiento, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento de los afectados.
d) No destinar, aplicar o utilizar los datos de carácter personal responsabilidad del Responsable del Tratamiento a un fin distinto del indicado en el presente Convenio con o sin su autorización, o de cualquier otra forma que suponga un incumplimiento de las instrucciones documentadas del Responsable del Tratamiento.
e) Restringir el acceso a la información a sus empleados y subcontratados, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.
f) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en términos de tal aprobación. Asimismo, no divulgar ni comunicar sin la autorización del Responsable del Tratamiento la información facilitada o recibida como resultado de la firma del presente Convenio.
g) En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la Ley Orgánica 3/2018, de 5 de diciembre, el Encargado del Tratamiento y el Subencargado del Tratamiento mantendrán un registro de todas las actividades de tratamiento efectuadas por cuenta del Responsable del Tratamiento, que contenga la información exigida por el artículo 30.2 del RGPD.
h) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
i) Dar apoyo al Responsable del Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos que en su caso deba realizar, cuando proceda, conforme a la normativa aplicable.
j) Dar apoyo al Responsable del Tratamiento en la realización de las consultas previas a la Autoridad de Control que en su caso deba de realizar, cuando proceda, conforme a la normativa aplicable.
k) Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen al Responsable del Tratamiento u otro auditor autorizado por este.
l) Adoptar las medidas técnicas y organizativas apropiadas, según lo establecido en el artículo 32 del RGPD, en la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, y en el Real Decreto 3/2010, de 8 de enero, de acuerdo con el correspondiente análisis de riesgos, que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable del Tratamiento y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
m) Comunicar al Responsable del Tratamiento, sin dilación indebida, la existencia de una brecha de seguridad para que este lo comunique a la autoridad de control.
n) Designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al Responsable del Tratamiento, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del RGPD y 35 a 37 de la Ley Orgánica 3/2018, de 5 de diciembre.
Telefónica cuenta con un Delegado de Protección de Datos (DPO) designado, con el que se puede contactar a través de la siguiente dirección de correo electrónico DPO_telefonicasa@telefonica.com.
La SGAD cuenta con un Delegado de Protección de Datos (DPO) designado, que es el del Ministerio de Asuntos Económicos y Transformación Digital, con el que se puede contactar a través de la siguiente dirección de correo electrónico dpd@economia.gob.es.
o) Respetar todas las obligaciones que pudieran corresponderle como Encargado del Tratamiento o Subencargado del Tratamiento con arreglo al RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, o de cualquier otra disposición o regulación complementaria en materia de protección de datos que, en su caso, le fuera igualmente aplicable.
p) En caso de que el Encargado del Tratamiento deba transferir o permitir acceso a datos personales responsabilidad del Responsable del Tratamiento a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable del Tratamiento de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.
3. En su condición de Subencargado del Tratamiento, Telefónica será responsable ante el incumplimiento de estas obligaciones, ya sea por sus empleados o por subcontratados, conforme a lo establecido en la estipulación octava del Convenio, con relación a la cual, la exoneración que incluye en ningún caso alcanzará a la obligación de cumplimiento del marco jurídico aplicable y en especial a las obligaciones específicas del Encargado del Tratamiento previstas en el RGPD ni en la Ley Orgánica 3/2018, de 5 de diciembre.
4. El Encargado del Tratamiento, el Subencargado del Tratamiento y, en su caso, sus subcontratistas ubicarán las actividades del Tratamiento dentro del territorio de la Unión Europea.
5. El acceso y el tratamiento de datos de carácter personal en el marco del Convenio se realiza con el único fin de permitir una adecuada colaboración en las actividades previstas en el Convenio la ejecución del Tratamiento, sin considerarse como una cesión o comunicación de datos.
Quinta. Derechos y obligaciones de la SGAD.
La SGAD asume las obligaciones recogidas en la estipulación cuarta del presente Convenio como Encargada del Tratamiento.
Sexta. Obligaciones de Telefónica.
1. En virtud del presente Convenio, Telefónica asume las siguientes obligaciones:
a) La gestión operativa de la aplicación.
b) El alojamiento («hosting») de la aplicación.
c) La implementación y despliegue de la aplicación.
d) El tratamiento de los datos personales de los usuarios de la aplicación en su condición de Subencargado del Tratamiento, en los términos previstos en este Convenio y la normativa vigente sobre protección de datos personales.
e) La adopción de las medidas técnicas y organizativas apropiadas, de acuerdo con el correspondiente análisis de riesgos, para evitar la pérdida, alteración o acceso no autorizado de los datos manejados por la aplicación, según lo establecido en el artículo 32 del Reglamento (UE) 2016/679, en la disposición adicional primera de la Ley Orgánica 3/2018 y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica.
f) El mantenimiento correctivo y la operación por el espacio máximo de un mes.
2. Tanto el almacenamiento como el resto de actividades del tratamiento de los datos, se ubicarán en el territorio de la Unión Europea, ya sean estos provistos y gestionados por Telefónica o por sus contratistas y colaboradores, y se alojarán en servidores y/o centros de proceso de datos de la propia Telefónica o de sus contratistas.
3. La SGAD encarga y autoriza expresamente a Telefónica y, en su caso, sus colaboradores, para la realización y ejecución de los cometidos descritos en el apartado uno de esta cláusula con las más amplias facultades, si bien con expreso sometimiento a los términos del presente Convenio.
4. En los procesos de alta, baja y modificación de los registros de usuarios, así como las interacciones e intercambios que se lleven a cabo con estos datos, Telefónica actuará exclusivamente en base a las definiciones de procesos y flujos de información que se le faciliten por la SGAD.
5. Telefónica aportará una valoración del riesgo de los tratamientos que realice la aplicación y una evaluación de impacto sobre la protección de datos con carácter previo a la puesta en marcha de la aplicación por razón de su riesgo para los derechos y libertades de los usuarios.
Séptima. Responsabilidad de Telefónica.
1. La responsabilidad entre las partes en relación con el tratamiento será la establecida en las estipulación de este Convenio. En concreto, las partes reconocen las exclusiones de responsabilidad, de tal forma que Telefónica no será en ningún caso responsable frente al Responsable del Tratamiento por la ejecución del tratamiento, no ofreciendo por ello garantías o indemidad alguna al respecto.
En ningún caso esta exoneración alcanzará a la obligación de cumplimiento del marco jurídico aplicable y en especial a las obligaciones específicas del Encargado del Tratamiento previstas en el RGPD ni en la Ley Orgánica 3/2018, de 5 de diciembre que le serán de aplicación como Subencargado.
2. Sin perjucio de lo anterior, cada una de las partes será responsable frente a la autoridad de protección de datos competente, de manera independiente, respecto a sus respectivos incumplimientos de la normativa de protección de datos aplicable.
Octava. Exclusión de responsabilidad de Telefónica.
1. Telefónica, que se ha ofrecido a colaborar en el desarrollo y operación de la aplicación, no asumirá ninguna responsabilidad económica, ni de ninguna otra clase, directa o indirecta, consecuencia de la colaboración en las actividades previstas en este Convenio, salvo en caso de dolo o negligencia grave.
A tal efecto, la SGAD se obliga a mantener completamente indemne a Telefónica y, en su caso, al resto de los autores del código informático que soporta la aplicación, así como a sus empleados, asesores, colaboradores, directivos y/o miembros de sus órganos de administración por cualesquiera consecuencias y/o responsabilidades directas o indirectas nacidas a partir del código informático de la aplicación. Dicha exención se extenderá igualmente a las actividades de colaboración previstas en el Convenio, salvo en caso de dolo o negligencia grave.
2. Debido a la gravedad de la situación, las partes han acordado priorizar la puesta a disposición de los usuarios de la aplicación en el marco de la situación de crisis sanitaria existente, por lo que en relación con todos los acuerdos y obligaciones establecidas en el Convenio se establece a favor de Telefónica un plazo de gracia de treinta (30) días naturales en lo referido a la estricta aplicación de sus obligaciones. En ningún caso esta exoneración alcanzará a la obligación de cumplimiento del marco jurídico aplicable y en especial a las obligaciones específicas del Encargado del Tratamiento previstas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante RGPD), que se le aplicarán como Subencargado.
3. En todo caso Telefónica hará sus mejores esfuerzos para cumplir con las referidas obligaciones desde el momento de la firma del presente Convenio.
4. La SGAD declara conocer y aceptar que los desarrollos informáticos que integran la aplicación se facilitan sin prestación de garantía de ninguna clase, la cual Telefónica afirma que se excluye y rechaza explícitamente por los autores.
5. La utilización de la aplicación no implica, por tanto, ningún tipo de garantía, ni por parte de Telefónica ni, según afirma Telefónica, de sus autores, que expresamente se rehúsa, respecto a la calidad, veracidad, exactitud, licitud, actualidad o vigencia, así como la utilidad o adecuación a finalidad alguna de quien acceda o utilice la misma.
Novena. Ejercicio de derechos por los interesados ante el Encargado y Subencargado del Tratamiento.
1. El Encargado y Subencargado del Tratamiento deberán dar traslado al Responsable del Tratamiento de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado del tratamiento cuyos datos hayan sido tratados por el Encargado o Subencargado con motivo del cumplimiento del objeto del presente Convenio, a fin de que el Responsable del Tratamiento la resuelva en los plazos establecidos por la normativa vigente.
El traslado de la solicitud al Responsable del Tratamiento deberá de hacerse con la mayor celeridad posible y, en ningún caso, más allá de tres (3) días hábiles siguientes al de la recepción de la solicitud por el Encargado o Subencargado del Tratamiento, acompañada de otras informaciones que puedan ser relevantes para resolver la solicitud.
2. El Encargado y Subencargado del Tratamiento deberán colaborar con el Responsable del Tratamiento ante cualquier instrucción que les traslade sobre el tratamiento relativa a los derechos de acceso, rectificación, supresión y oposición, de limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas. La ejecución de la instrucción se llevará a cabo con a la mayor celeridad posible, y, siempre que sea factible, en el plazo máximo de tres (3) días hábiles a contar desde la recepción de la instrucción. El Encargado y, en su caso, el Subencargado comunicarán por escrito la recepción de la instrucción y la ejecución de la tarea encomendada una vez finalizada.
Décima. Medidas de seguridad y violación de la seguridad.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas que conozca y/o le sean informados efectivamente por el Responsable del Tratamiento el Encargado y Subencargado del Tratamiento aplicarán en función del análisis realizado conjuntamente con el Responsable del Tratamiento las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) Un catálogo de medidas de seguridad según lo previsto en el Real Decreto 3/2010, de 8 de enero, y a luz del correspondiente análisis de riesgos.
2. Al evaluar la adecuación del nivel de seguridad, el Encargado y Subencargado tendrán en cuenta los riesgos que presente el tratamiento de datos detectados en el análisis realizado, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. El Encargado y el Subencargado del Tratamiento destinarán sus mejores esfuerzos para permitir y contribuir a la realización de auditorías de protección de datos, incluidas inspecciones, por parte del Responsable del Tratamiento o de otro auditor autorizado por el mismo.
4. En caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del presente Convenio, el Responsable del Tratamiento lo comunicará con la antelación debida al Encargado del Tratamiento, quien lo trasladará al Subencargado. Ambos destinarán sus mejores esfuerzos para implementar y mantener las mismas.
5. En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por el Encargado y el Subencargado del Tratamiento para la ejecución del tratamiento, estos deberán notificar al Responsable del Tratamiento sin dilación indebida desde que, en su caso, tengan conocimiento efectivo, las violaciones de la seguridad de los datos personales a su cargo de las que tengan conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia de la que dispongan conforme a lo dispuesto en el artículo 33.3 del RGPD.
En tal caso, corresponderá al Responsable del Tratamiento comunicar aquellas violaciones de seguridad de los datos a la autoridad de protección de datos competente y/o, en su caso, a los interesados conforme a lo establecido en la normativa vigente, manteniendo informado al respecto al Encargado del Tratamiento o al Subencargado antes de realizar dicha comunicación.
Undécima. Propiedad intelectual e industrial.
La SGAD es la propietaria y titular de todos los derechos de propiedad intelectual relativos a la aplicación.
Duodécima. Régimen económico.
El presente Convenio por sí mismo no comporta obligaciones económicas entre las partes firmantes.
Decimotercera. Comisión de Seguimiento.
1. De acuerdo con lo previsto en el artículo 49.1.f) de la Ley 40/2015, de 1 de octubre, se constituirá una Comisión de Seguimiento para la gestión, seguimiento y control del presente Convenio y de los compromisos adquiridos por los firmantes.
2. El funcionamiento de la Comisión de Seguimiento se regirá por las normas contenidas en la sección tercera del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre.
3. Estará compuesta por el Secretario General de Administración Digital, que la presidirá, un Vocal con rango de Subdirector General, que prestará servicio en la Secretaria General de Administración Digital, designado por el Secretario General de Administración Digital y dos Vocales designados por Telefónica.
4. Corresponden a la Comisión de Seguimiento las siguientes funciones:
a) La resolución de las cuestiones relativas a la interpretación y cumplimiento de los compromisos derivados del presente Convenio, así como proponer a las partes firmantes cualquier modificación del mismo.
b) La actualización permanente de los datos de referencia, personas de contacto, mecanismos de gestión de incidencias y seguimiento de niveles de servicio y la relación de responsables.
5. La Comisión se reunirá con periodicidad mensual.
Decimocuarta. Resolución de controversias.
1. Las partes se comprometen a resolver de mutuo acuerdo las incidencias que puedan surgir en el cumplimiento del presente Convenio, entre otras las que sean consecuencia de la celeridad que ha sido necesaria para la celebración del mismo.
2. Las cuestiones litigiosas que surjan entre las partes durante el desarrollo y ejecución del presente Convenio y no puedan ser resueltas por la Comisión de Seguimiento prevista en la cláusula novena, se someterán a la jurisdicción contencioso-administrativa, conforme a lo dispuesto en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
Decimoquinta. Modificación.
El texto de este Convenio podrá ser modificado por acuerdo de las partes.
Decimosexta. Duración, resolución y extinción.
1. El presente Convenio tendrá una duración inicial de tres meses.
2. En aplicación de lo previsto en el artículo 39 del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19, se perfecciona y resulta eficaz por la prestación del consentimiento de las partes, sin perjuicio de su posterior inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal y su publicación en el «Boletín Oficial del Estado».
3. El Convenio podrá ser prorrogado expresamente en su plazo inicial de tres meses por periodos mensuales sucesivos. La voluntad de prorrogar de una de las partes tendrá que comunicarse a la otra con una antelación de quince días respecto de la fecha de terminación del periodo de duración inicial o de cualquiera de sus prórrogas, quien deberá manifestar su conformidad con la prórroga; todo ello sin perjuicio de las causas de resolución recogidas en el apartado siguiente.
4. De conformidad con lo establecido en el artículo 51 de la Ley 40/2015, de 1 de octubre, los Convenios se extinguen por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.
Son causas de resolución:
a) El transcurso del plazo de vigencia del Convenio sin haberse acordado su prórroga.
b) El acuerdo unánime de las partes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
d) La decisión judicial declaratoria de la nulidad del Convenio.
e) Cualquier otra causa distinta de las anteriores prevista en otras leyes.
Asimismo, las partes firmantes podrán resolver este Convenio por denuncia de cualquiera de las mismas mediante preaviso comunicado de forma fehaciente a la otra parte con, al menos, quince días de antelación a la fecha de resolución propuesta sin que esto suponga incumplimiento alguno del presente Convenio.
5. La resolución del Convenio no dará derecho a indemnización alguna.
6. Una vez extinguido o resuelto el Convenio, ni Telefónica ni ninguna de las empresas que subcontrate o colaboren en cualquier actividad relacionada con el objeto de este Convenio, podrán conservar en ningún caso copia de los datos manejados durante el periodo en el que haya estado encargada de su gestión y explotación.
Extinguido o resuelto el Convenio, Telefónica hará entrega en el formato que acuerde la Comisión de Seguimiento, de todos los datos de los usuarios de la aplicación que hayan sido objeto de tratamiento tanto por Telefónica como por las empresas que subcontrate o colaboren en cualquier actividad relacionada con el objeto de este Convenio.
En ese acto, Teléfónica entregará acreditación documental de la destrucción fehaciente de todos datos manejados para la colaboración en las actividades recogidas en el presente Convenio.
Decimoséptima. Régimen de protección de datos, seguridad y confidencialidad.
1. El régimen de protección de datos de carácter personal en las actuaciones que se desarrollen en ejecución del presente Convenio es el previsto en el RGPD, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y demás normativa de aplicación en materia de protección de datos.
2. Las partes velarán por el cumplimiento del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica.
3. Toda la información facilitada por las partes y toda la información generada como consecuencia de la ejecución del presente Convenio, tendrá el tratamiento de confidencial, sin perjuicio de la información que sea de dominio público, no pudiendo ser divulgada o facilitada a terceros, ni utilizada para un fin distinto del previsto en este documento, de acuerdo con lo previsto en la normativa aplicable.
4. La obligación de confidencialidad para las partes se extenderá indefinidamente aunque el Convenio se hubiera extinguido. Todo ello sin perjuicio de la eventual autorización de las partes o en su caso, de que dicha información pasara a ser considerada como de dominio público.
5. Además del Responsable del Tratamiento, pueden tener acceso a los datos, entre otros, los profesionales sanitarios y las autoridades competentes necesarios para el cumplimiento de las finalidades de la aplicación, cada uno de ellos en el ejercicio de sus funciones o competencias en el cumplimiento de las obligaciones en materia sanitaria o de salud pública que les encomienda la normativa vigente:
a) Los profesionales sanitarios, para contactar directamente con el usuario en caso de que, del resultado de la autoevaluación realizada a través de la aplicación, se determine que necesita atención médica ante la posibilidad de estar infectado por el coronavirus.
b) Las autoridades competentes de las Comunidades Autónomas en materia de sanidad, INGESA, MUFACE, ISFAS y MUGEJU y otras autoridades nacionales y/o internacionales (por ejemplo, órganos judiciales), con las que sea necesario compartir los datos del usuario.
El acceso a los datos por estos terceros será siempre para finalidades lícitas relacionadas con el Convenio y solo durante el periodo de tiempo estrictamente necesario para ello.
El Responsable del Tratamiento garantizará el máximo nivel de protección en el acceso de estos terceros a los datos. A tal efecto podrá suscribir acuerdos de tratamiento de datos o establecer medidas de salvaguarda apropiadas que aseguren la confidencialidad y el tratamiento seguro de los datos.
6. Adicionalmente, conforme a lo establecido en la normativa aplicable, se podrán tratar los datos para las siguientes finalidades no directamente relacionadas con las funcionalidades de la aplicación, adoptando las medidas técnicas y organizativas necesarias, en particular, para garantizar el respeto al principio de minimización de datos personales, incluyendo su anonimización:
a) Para finalidades estadísticas.
b) Para investigación biomédica, científica o histórica.
c) Para archivo en interés público.
Decimoctava. Destino de los datos personales al finalizar la relación acordada en el Convenio.
Una vez terminada y/o resuelta la relación acordada en el Convenio entre el Encargado del Tratamiento y el Subencargado del Tratamiento, se estará a lo dispuesto en la cláusula decimosexta del presente Convenio en sus apartados 5 y 6.
Decimonovena. Deber de secreto.
1. Ambas partes se comprometen a guardar la máxima reserva y secreto sobre la información calificada como confidencial facilitada por una, a la otra, con motivo de la colaboración en las actividades objeto de este Convenio.
2. Se considerará información confidencial toda la información y los datos personales a los que tengan acceso el Ministerio de Sanidad como Responsable del Tratamiento, la SGAD como Encargado del Tratamiento y Telefónica como Subencargado del Tratamiento, así como cualquier otro interviniente que pudiera participar en el desarrollo, gestión o explotación de la aplicación o servicios a que se refiere el Convenio.
3. Una vez finalizada la relación objeto del presente Convenio será de aplicación lo previsto en la cláusula sexta.
4. Las partes serán responsables de que su personal, colaboradores, directivos y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y/o a los datos personales responsabilidad del Responsable del Tratamiento, respeten la confidencialidad de la información, así como aquellas obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el Encargado del Tratamiento mientras continúen teniendo acceso a los mismos y/o tratándolos. Por tanto, ambas partes realizarán cuantas advertencias y suscribirán cuantos documentos sean necesarios con dichas personas o terceros, con el fin de asegurar el cumplimiento de tales obligaciones aquí establecidas.
5. Cuando así le sea solicitado por la otra parte, cada parte destinará sus mejores esfuerzos para poner a disposición de la otra la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior lo antes posible.
Vigésima. Deber de información mutuo.
1. Las partes informan a los representantes que firman el presente Convenio de que sus datos de carácter personal, van a ser tratados con la finalidad del mantenimiento de las relaciones previstas en el Convenio de cada una de las partes, siendo imprescindible para ello que se aporten sus datos identificativos, el cargo que ostentan, número de DNI o documento equivalente y su firma.
2. Asimismo, las partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento de la relación prevista en el Convenio. Las partes se comunicarán mutuamente la identidad de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les sea de aplicación.
3. La base jurídica que legitima el tratamiento de los datos de los interesados es su necesidad para la celebración y ejecución del presente Convenio.
4. Los datos serán conservados durante la vigencia del presente Convenio y, posteriormente, durante dos años.
5. En todo caso, los afectados podrán ejercer sus derechos de acceso, rectificación, supresión y oposición, limitación, portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social de Telefónica, como Subencargado del Tratamiento, que consta en el presente Convenio, aportando fotocopia de su DNI o documento equivalente e identificando el derecho que se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos.
Vigésima primera. Naturaleza y régimen jurídico.
1. El presente Convenio tiene naturaleza administrativa, y se regirá por lo dispuesto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre
2. En el supuesto de que se produzca cualquier modificación normativa que pudiera afectar a lo dispuesto en el presente Convenio, las partes se comprometen a realizar las adaptaciones que resultasen necesarias en el texto del mismo al objeto de adecuar su contenido a lo dispuesto en la normativa vigente en cada momento.
Vigésima segunda. Aplicación del artículo 39 del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19.
De acuerdo con lo previsto en el artículo 39 del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19, que regula el régimen especial de Convenios relacionados con el COVID-19,las disposiciones contenidas en los apartados 1 y 2 en las letras a), b) y c) del artículo 50 de la Ley 40/2015, de 1 de octubre, así como en el acuerdo del Consejo de Ministros de 15 de diciembre de 2017, por el que se aprueban las instrucciones para la tramitación de Convenios no resultan aplicables en la tramitación administrativa y suscripción de este Convenio por estar comprendido en el ámbito de la gestión de la emergencia sanitaria causada por el coronavirus COVID-19.
Vigésima tercera. Notificaciones y comunicaciones.
Para el envío de cualesquiera notificaciones que deban efectuarse las partes en la ejecución del presente Convenio, se establecen las siguientes direcciones y personas de contacto:
Por la Secretaría General de Administración Digital:
A la att. de don Miguel Ángel Amutio.
Dirección postal: Manuel Cortina, 2; 28071 Madrid.
Correo electrónico: miguel.amutio@economia.gob.es.
Por Telefónica:
A la att. de don Miguel Arias Bermúdez.
Dirección postal: Gran Vía, 28, Madrid, 28013.
Correo electrónico: marias@telefonica.com.
Y, en prueba de conformidad, las partes firman el presente Convenio en Madrid, a 4 de abril de 2020.–La Secretaria de Estado de Digitalización e Inteligencia Artificial, por delegación, el Secretario General de Administración Digital, Fernando de Pablo Martín.–Por Telefónica, Elena Gil Lizasoain