CONTRATO DE CONFIDENCIALIDAD

En Valencia 

CONTRACT ENTREA AMBAS PARTES

Por una parte AGENTE COMERCIAL,

Por la otra, LINGO. UNIVERSITY, S.L., con C.I.F. B98928666 y dirección Calle Blas Gámez Ortiz Nº 5 escalera 2 planta 11 p35, VALENCIA, CP 46013 provincia de Valencia (persona responsable de aquí en Adelante en adelante),

Ambas partes reconocen la capacidad legal suficiente para firmar el acuerdo:

LAS PARTES DECLARAN
1.- El finalidad de este acuerdo es el de regular la confidencialidad de los datos personales propiedad de la empresa, acuerdo con los  artículos 24, 25, 26, 27, 28, 29, 30, 31, 32, 33 y 34 de las Regulaciones (EU) 2016/679 del Parlamento Europeo y el Consejo del 27 de abril de (GDPR)

2.- Ambas partes conocen el cumplimiento de todas las obligaciones derivadas del GDPR, especialmente aquellas relaciones con el derecho a la información, consentimiento y el deber del acuerdo de confidencialidad, el registro de las actividades tratadas, y la adopción de las medidas de seguridad técnicas y organizativas que garantice la seguridad de los datos personales con la finalidad de garantizar y tener la capacidad de demostrar que los términos de este acuerdo están en concordancia con el GDPR.

3. – El manejo de datos personales proporcionados o permitidos por la persona responsable del acuerdo solo será con el único propósito de cumplir con el servicio contratado y específicamente para el propósito expresado en la cláusula 1

4. – El acceso o uso de estos datos personales estará sujeto a lo siguiente:

CLAUSULAS

Uno: Motivo del acuerdo de confidencialidad
A través de estas cláusulas, la persona a cargo del tratamiento está autorizada a procesar, en nombre de la persona que cede los datos, los datos personales necesarios para proporcionar el servicio en la materia contratada.

Dos: Identificación de la información afectada
Para que se cumplan los beneficios derivados  de la consumación de este acuerdo, la persona que cede los datos pone a disposición a la persona a cargo del acuerdo, la información de los datos proporcionados para:
*** EL MANAGER NO HA ESTADO VINCULADO A NINGUNA ACTIVIDAD DEL ACUERDO ***

Tres: Duración
Este acuerdo tiene una fecha de finalización: hasta el final del contractual acuerdo. Una vez finalice, los datos cedidos serán borrados de la base de datos así como cualquier copia en posesión.

Cuatro: Obligaciones de la persona al cargo del tratamiento de los datos
La persona al cargo del tratamiento de los datos y todo su personal está obligado a:

a) Usar los datos personales proporcionados solo para el propósito convenido y nunca para su propio beneficio. 

b) Tratar los datos acorde con las instrucciones al control. Si el controlador de los datos considera que alguna de las acciones viola las instrucciones del GDPR o cualquier otra disposición sobre protección de datos de la Unión de la Estados Miembros, la persona que ha cedido los datos deberá ser informada inmediatamente.

c) Mantener, por escrito, una copia de todas las categorías de las actividades del acuerdo llevadas por la persona a cargo, con los siguientes contenidos:

- Las categorías de tratamientos realizados en nombre de cada persona a cargo.

- En caso de apropiación o transferencia  de los datos personales a un tercer país o organización internacional, debe incluir el nombre de esa entidad tal y como se indica en el artículo 49 párrafo 1, y el segundo párrafo del GDPR, respecto a la garantía adecuada de la documentación.

- Una descripción general de las medidas de seguridad técnicas y organizativas en relación a:

· Seudonimización y encriptación de los datos personales, si fuera posible.

· La capacidad de garantizar la confidencialidad permanente y la integridad, disponibilidad y resiliencia de los sistemas y servicios del acuerdo.

· La capacidad de restaurar la disponibilidad y acceso de a los datos rápidamente en caso de algún incidente físico o técnico.

· El procedimiento de verificar, evaluar la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 

d) No comunicar los datos a terceros, a menos que tenga la autorización expresa de la persona a cargo del tratamiento (autorización que se adjuntará a este contrato).

La comunicación de datos a la Administración, en el ejercicio de sus funciones, no se considera transferencia de datos; por lo tanto, no se requiere la autorización de la persona responsable.

La persona a cargo puede comunicar los datos a otras personas que estén a cargo del tratamiento de la misma persona a cargo, de acuerdo con las instrucciones de la persona a cargo. En este caso, la persona a cargo identificará, por adelantado y por escrito, la entidad a la que se deben comunicar los datos, los datos que se deben comunicar y las medidas de seguridad que se deben aplicar para proceder con la comunicación.

Si la persona a cargo debe transferir datos personales a un tercer país o a una organización internacional, en virtud de la ley de la Unión o de los Estados miembros que le son aplicables, informará de antemano a la persona responsable de ese requisito legal. , a menos que dicha ley lo prohíba por razones importantes de interés público.

e) Subcontratación

No subcontrate ninguno de los beneficios que forman parte del propósito de este contrato que implica el procesamiento de datos personales, excepto los servicios auxiliares necesarios para el funcionamiento normal de los servicios del administrador. Si es necesario subcontratar algún tratamiento, este hecho debe comunicarse previamente y por escrito a la persona a cargo, con 10 días de antelación, indicando los tratamientos que están destinados a subcontratar e identificando clara e inequívocamente a la compañía subcontratista y su información de contacto. La subcontratación puede llevarse a cabo si la persona responsable no expresa su oposición dentro del plazo establecido. 

El subcontratista, que también estará a cargo del tratamiento, también está obligado a cumplir con las obligaciones establecidas en este documento para la persona a cargo del tratamiento y las instrucciones emitidas por la persona a cargo. Corresponde al gerente inicial regular la nueva relación para que el nuevo gerente esté sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad ...) y con los mismos requisitos formales que él, con respecto al procesamiento adecuado de los datos personales. y la garantía de los derechos de las personas afectadas. En caso de incumplimiento por parte del gerente asistente, la persona a cargo inicial seguirá siendo totalmente responsable ante la persona responsable del cumplimiento de las obligaciones.

f) Mantener el deber de confidencialidad con respecto a los datos personales a los que ha tenido acceso en virtud de esta orden, incluso después del final de su propósito.

g) Asegurar que las personas autorizadas para procesar datos personales se comprometan, expresamente y por escrito, a respetar la confidencialidad y cumplir con las medidas de seguridad correspondientes, que deben ser informadas en consecuencia.

h) Mantener a disposición de la persona responsable de la documentación que acredite el cumplimiento de la obligación establecida en el apartado anterior.

i) Asegurar la capacitación necesaria en la protección de datos personales de personas autorizadas para procesar datos personales.

j) Asistir al controlador en respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición.
2. Limitación del acuerdo.
3. Portabilidad de datos
4. No está sujeto a decisiones automatizadas individualizadas (incluida la elaboración de perfiles) cuando las personas afectadas ejercen los derechos de acceso, rectificación, eliminación y oposición, limitación de procesamiento, portabilidad de datos y no están sujetas a decisiones automatizadas individualizadas, ante el responsable del tratamiento, debe comunicarlo por correo electrónico a la dirección. La comunicación debe realizarse de inmediato y en ningún caso más allá del día hábil siguiente a la recepción de la solicitud, junto, cuando corresponda, con otra información que pueda ser relevante para resolver la solicitud.

k) Obligación de informar

La persona a cargo del procedimiento en el momento de la recopilación de datos, debe proporcionar la información relacionada con el procedimiento de datos que se llevará a cabo. La redacción y el formato en que se proporcionará la información deben acordarse con la persona a cargo antes del inicio de la recopilación de datos.

l) Notificación de violaciones de seguridad de datos.

La persona a cargo del tratamiento notificará a la persona responsable del tratamiento, sin demora indebida, y en cualquier caso antes de las 72 horas, las violaciones de la seguridad de los datos personales a su cargo de los que tiene conocimiento, junto con toda los información relevante para la documentación y comunicación del incidente.

La notificación no será necesaria cuando sea poco probable que tal violación de seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

m) Brindar apoyo al controlador de datos para llevar a cabo las evaluaciones de impacto relacionadas con la protección de datos, cuando corresponda.

n) Brindar apoyo a la persona responsable del tratamiento en la realización de consultas previas con la autoridad supervisora, cuando corresponda

o) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de auditorías o inspecciones realizadas por el responsable u otro auditor autorizado por él.
p) Implementar medidas de seguridad. En cualquier caso, debe implementar mecanismos para:

1. Asegurar la confidencialidad permanente, integridad, disponibilidad y resistencia de los sistemas y servicios de tratamiento.
2. Restaure la disponibilidad y el acceso a los datos personales rápidamente, en caso de incidente físico o técnico.
3. Verificar, evaluar y evaluar, de forma regular, la efectividad de las medidas técnicas y organizativas implementadas para garantizar la seguridad del tratamiento.
4. Seudonimizar y cifrar datos personales, si corresponde.

q) Designe un delegado de protección de datos, si corresponde, y comunique su identidad e información de contacto a la persona a cargo.

Cinco: obligaciones del controlador

Corresponde a la persona a cargo del tratamiento:

a) Entregar los datos mencionados en la cláusula 2 de este documento a la persona a cargo.

b) Realizar una evaluación de impacto, si corresponde, en la protección de los datos personales de las operaciones de procesamiento que realizará la persona a cargo.

c) Realizar las consultas previas correspondientes.

d) Asegurar, antes y durante todo el tratamiento, el cumplimiento del GDPR por parte de la persona a cargo.

e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Y como prueba de conformidad, firman este contrato por duplicado y con un solo propósito en el lugar y la fecha indicados en el título.