CONTRATO DE ENCARGO DE TRATAMIENTO REDACTADO DE ACUERDO CON LAS

RECOMENDACIONES DE LA AGENCIA ESPAÑOLA DE PROTECCION DE DATOS

CON MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO / MEDIO y ALTO

(Seleccionar las que correspondan)

En Madrid, a __ de _____ de 201_

REUNIDOS

De una Parte,

D. --------, en nombre y representación de la Sociedad __________________________________, (en

adelante, ENCARGADO DEL TRATAMIENTO), con N.I.F. __ y con domicilio social en __________ ,
Localidad, País

Y de otra Parte,

D. ------------------ en nombre y representación de la Sociedad ---------------. (en adelante,

RESPONSABLE DEL TRATAMIENTO), con N.I.F. ----------- y con domicilio social en ------ Localidad,
País.

Las Partes, reconociéndose capacidad jurídica y de obrar suficiente para el otorgamiento del presente
Contrato,
EXPONEN

I.- Que el RESPONSABLE DEL TRATAMIENTO es una entidad dedicada a INDICAR OBJETO
SOCIAL

II.- Que el ENCARGADO DEL TRATAMIENTO es una entidad dedicada a INDICAR OBJETO SOCIAL

III.- Que el ENCARGADO DEL TRATAMIENTO, como consecuencia de la prestación de los servicios
que se detallan en la Estipulación Primera a favor del RESPONSABLE DEL TRATAMIENTO (en
adelante, el Servicio), podrá acceder y proceder al tratamiento de determinados datos titularidad y
responsabilidad del RESPONSABLE DEL TRATAMIENTO.

IV.- Que con el fin de dar cumplimiento a la legislación española de Protección de Datos Personales y,
al Reglamento (UE) 2016/769 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, (en adelante, RGPD), las Partes firman el presente Contrato de Encargo del
Tratamiento, de acuerdo con las siguientes:

ESTIPULACIONES

1. Objeto.

Este Contrato tiene por objeto definir las condiciones conforme a las cuales el ENCARGADO DEL
TRATAMIENTO llevará a cabo el tratamiento de datos personales para la prestación del servicio
contratado por el RESPONSABLE DEL TRATAMIENTO, de conformidad con lo dispuesto en la

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 1
legislación española de protección de datos y los artículos 27 al 29 del RGPD y concordantes. El
tratamiento se realizará sobre datos personales de los que el RESPONSABLE DEL TRATAMIENTO es
titular o tiene facultad de disposición (en adelante, “los datos personales”) de conformidad con el
ANEXO I, con motivo de la prestación del servicio contratado entre las Partes con la misma fecha.

2. Obligaciones del ENCARGADO DEL TRATAMIENTO.

El ENCARGADO DE TRATAMIENTO, llevará a cabo el tratamiento de datos personales derivado de la

prestación del servicio contratado, de conformidad con las siguientes obligaciones:

• Limitarse a realizar las actuaciones que resulten necesarias para prestar al RESPONSABLE
DEL TRATAMIENTO el Servicio contratado, de conformidad con lo establecido en el Contrato
de Servicios. En concreto, se comprometerá a realizar el tratamiento de los datos personales
ajustándose a las instrucciones que, en cada momento, reciba del RESPONSABLE DEL
TRATAMIENTO, así como a lo dispuesto en la normativa que le resulte aplicable en materia de
protección de datos personales, incluso cuando se trate de transferencias de datos personales
a un tercer país o a una Organización Internacional. En tal caso, el ENCARGADO DEL
TRATAMIENTO informará al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal con
carácter previo al tratamiento.

Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el

RGPD o cualquier otra disposición en materia de protección de datos en el territorio de la Unión
Europea o que haya sido previamente declarado por la Unión Europea como país con un nivel
adecuado de protección, el ENCARGADO DEL TRATAMIENTO informará inmediatamente al
RESPONSABLE DEL TRATAMIENTO.

• Comprometerse a no realizar ningún otro tratamiento sobre los datos personales, ni a aplicar o
utilizar los datos con una finalidad distinta a la prestación del Servicio al que se hace referencia
en el presente Contrato, ni a utilizarlos con fines propios.

• Garantizar la formación necesaria en materia de protección de datos personales de las

personas autorizadas para poder tratarlos.

• Mantener un registro por escrito de todas las actividades de tratamiento efectuadas por cuenta
del RESPONSABLE DEL TRATAMIENTO de conformidad con el artículo 30 del RGPD, que
contenga:

o La denominación social completa y los datos de contacto del ENCARGADO DE

TRATAMIENTO y del RESPONSABLE DEL TRATAMIENTO y, en su caso, de los
representantes y de los Delegados de Protección de Datos de las Partes.
o Las categorías de tratamientos efectuados por cuenta de cada RESPONSABLE DEL
TRATAMIENTO.
o En su caso, las transferencias de datos personales a un tercer país, incluida su
identificación y la documentación de las garantías adecuadas.
o La descripción general de las medidas técnicas y organizativas de seguridad relativas
a:
▪ La seudonimización y el cifrado de datos personales.
▪ La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
▪ La capacidad de restaurar la disponibilidad y el acceso a los datos personales
de forma rápida, en caso de incidente físico o técnico.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 2
 ▪ El proceso de verificación, evaluación y valoración regulares de la eficacia de
las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.

• Comprometerse a guardar bajo su control y custodia los datos personales suministrados por el
RESPONSABLE DEL TRATAMIENTO a los que acceda con motivo de la prestación del
Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera
para su conservación a otras personas.

• En caso de que deba transferir datos personales a un tercer país, informar al RESPONSABLE
DEL TRATAMIENTO de esa exigencia legal de manera previa, salvo que el Derecho del tercer
país lo prohíba por razones importantes de interés público.

• Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de

impacto relativas a la protección de datos, cuando proceda.

• Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a

las Autoridades de Control que competentes, cuando proceda.

• Poner a disposición del RESPONSABLE DEL TRATAMIENTO la información necesaria para

demostrar el cumplimiento de sus obligaciones, así como permitir y colaborar activamente en la
realización de las auditorías o las inspecciones que realice el RESPONSABLE DEL
TRATAMIENTO u otro auditor autorizado por él, siempre y cuando sean comunicadas con la
antelación suficiente, en ningún caso inferior a un mes, salvo urgencias justificadas, quedarán
ceñidas a la documentación e información relativa al proyecto y/o servicio que, a criterio de
ambas partes, resulte razonablemente necesaria para acreditar el cumplimiento de las
obligaciones asumidas por el ENCARGADO DEL TRATAMIENTO y en ningún caso implicarán
una intromisión injustificada en los derechos, el normal desarrollo del negocio, instalaciones,
procedimientos y/o sistemas del ENCARGADO DEL TRATAMIENTO.

A título meramente ilustrativo y no limitativo, a solicitud del RESPONSABLE DEL

TRATAMIENTO, el ENCARGADO DE TRATAMIENTO deberá proporcionar los Certificados y
estándares que, en materia de seguridad de la información, haya obtenido el ENCARGADO DE
TRATAMIENTO.

• Designar su Delegado de Protección de Datos, cuando proceda y comunicar su identidad y

datos de contacto al RESPONSABLE DEL TRATAMIENTO.

3. Seguridad de los datos personales.

El ENCARGADO DEL TRATAMIENTO implantará las medidas de seguridad y mecanismos

establecidos en el artículo 32 del RGPD para:

- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los

sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de
incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas
implantadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en su caso.

Asimismo, el ENCARGADO DE TRATAMIENTO deberá adoptar las medidas técnicas y organizativas

que, a tenor del análisis de riesgo efectuado por el RESPONSABLE DEL TRATAMIENTO, se le hayan
comunicado y resulten necesarias para garantizar un nivel de seguridad adecuado, teniendo en cuenta

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 3
el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los
datos personales que deban protegerse. Tales medidas se facilitan al ENCARGADO DEL
TRATAMIENTO en el Anexo II de este Contrato.

Sin perjuicio de lo anterior, el ENCARGADO DEL TRATAMIENTO podrá realizar su propio análisis de
riesgo y proponer al RESPONSABLE DEL TRATAMIENTO la adopción de medidas de seguridad
adicionales o sustitutivas de las propuestas por el RESPONSABLE DEL TRATAMIENTO, siempre que
de las mismas resulte un nivel de seguridad adecuado. En todo caso, la decisión final sobre la
adopción e implantación de unas u otras medidas corresponden al RESPONSABLE DEL
TRATAMIENTO.

4. Notificación de violaciones de la seguridad de los datos.

El ENCARGADO DEL TRATAMIENTO deberá notificar al RESPONSABLE DEL TRATAMIENTO, sin

dilación indebida, y en cualquier caso antes del plazo máximo de veinticuatro (24) horas, las
violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento,
incluyendo toda la información relevante para la documentación y comunicación de la incidencia.

El ENCARGADO DEL TRATAMIENTO facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo

las categorías y el número aproximado de interesados afectados, y las categorías y el número
aproximado de registros de datos personales afectados.
b) El nombre y los datos de contacto de su Delegado de Protección de Datos y/o de su
Representante Legal que pueda facilitar más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos
personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la
seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar
los posibles efectos negativos.

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la

información se facilitará de manera gradual sin dilación indebida.

5. Deber de confidencialidad.

El deber de secreto y confidencialidad que se deriva de este Contrato obliga al ENCARGADO DEL
TRATAMIENTO durante su vigencia y se extenderá, en función de la tipología de la información de que
se trate, durante los plazos máximos previstos en la legislación vigente que resulte de aplicación.

El ENCARGADO DEL TRATAMIENTO garantizará que las personas autorizadas para tratar datos
personales están comprometidas, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que el RESPONSABLE DEL
TRATAMIENTO informará convenientemente. El ENCARGADO DEL TRATAMIENTO mantendrá a
disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento
de esta obligación.

Por personas autorizadas debe entenderse cualquier persona física o jurídica con acceso a los datos
objeto de tratamiento con independencia de la relación contractual que le vincule con el ENCARGADO
DEL TRATAMIENTO.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 4
 6. Deber de información.

El RESPONSABLE DEL TRATAMIENTO facilitará al ENCARGADO DEL TRATAMIENTO los datos

personales que deben utilizarse para la prestación de los servicios contratados. El RESPONSABLE
DEL TRATAMIENTO manifiesta haber recabado los datos personales de sus titulares y facilitado en
tiempo y forma la información sobre los tratamientos de datos que van a realizarse.

7. Obligación de devolución o destrucción de los datos.

Una vez cumplida la prestación del servicio objeto del Contrato, el ENCARGADO DEL
TRATAMIENTO se compromete a devolver al RESPONSABLE DEL TRATAMIENTO o a quien
éste determine aquella información que contenga datos de carácter personal que haya sido
transmitida por el RESPONSABLE DEL TRATAMIENTO al ENCARGADO DEL TRATAMIENTO
con motivo de la prestación del Servicio.

La devolución implicará la entrega o puesta a disposición de los datos tratados en un formato de

uso común y de forma que, completada su devolución, el RESPONSABLE DEL TRATAMIENTO
no tenga dependencia alguna de los sistemas o herramientas del ENCARGADO DEL
TRATAMIENTO.

Finalizado el proceso de devolución, el ENCARGADO DEL TRATAMIENO deberá proceder a la

destrucción de los datos existentes en los equipos informáticos y/u otros soportes por él
utilizados. No obstante, el ENCARGADO DEL TRATAMIENTO podrá conservar los datos e
información tratada, debidamente bloqueados, en el caso que pudieran derivarse
responsabilidades de su relación con el RESPONSABLE DEL TRATAMIENTO.

8. Subcontratación.

En el caso de que se haya autorizado por parte del RESPONSABLE DEL TRATAMIENTO al
ENCARGADO DEL TRATAMIENTO la subcontratación parcial de los servicios y ello implique el
acceso a datos personales del RESPONSABLE DEL TRATAMIENTO, el ENCARGADO DEL
TRATAMIENTO subcontratará exclusivamente con las Empresas que quedarán relacionadas en
uno de los Anexos del Contrato de Servicios, con indicación exacta de la tipología de los servicios
objeto de subcontratación.

Para subcontratar con otras empresas, distintas de las incluidas en el mencionado Anexo de
Subcontratistas, el ENCARGADO DEL TRATAMIENTO debe comunicarlo por escrito al
RESPONSABLE DEL TRATAMIENTO para la autorización de nuevas Empresas Subcontratistas,
identificándolos de forma clara e inequívoca y con indicación de los servicios parcialmente
subcontratados.

El/los Subcontratistas, que también tendrán la condición de encargado/s del tratamiento, estará/n
obligado/s igualmente a cumplir las obligaciones establecidas en este Contrato de Encargo de
Tratamiento para el ENCARGADO DEL TRATAMIENTO y actuara/n siempre conforme a las
instrucciones que se han establecido en este Contrato de Encargo de Tratamiento por el
RESPONSABLE DEL TRATAMIENTO. Corresponde al ENCARGADO DEL TRATAMIENTO
inicial la formalización de un Contrato de Servicios y de un Contrato de Encargo de Tratamiento
de conformidad con los artículos 27 al 29 del RGPD, y concordantes, de forma que el nuevo
encargado del tratamiento quede sujeto a los mismos términos y condiciones, (instrucciones,
obligaciones, medidas de seguridad, etc…), y con los mismos requisitos formales en lo referente
al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 5
 afectadas.

En el caso de incumplimiento por parte del Subcontratista del ENCARGADO DEL

TRATAMIENTO, el ENCARGADO DEL TRATAMIENTO inicial seguirá siendo plenamente
responsable ante el RESPONSABLE DEL TRATAMIENTO en todo lo que concierne al
cumplimiento de las obligaciones que ha asumido por virtud del Contrato de Servicios y de este
Contrato de Encargo de Tratamiento.

9. Derechos de los interesados.

Si una persona física titular de los datos de carácter personal ejercitase los derechos en materia de
protección de datos ante el ENCARGADO DEL TRATAMIENTO, el ENCARGADO DEL
TRATAMIENTO colaborará al RESPONSABLE DEL TRATAMIENTO para atender el ejercicio de los
derechos de los interesados, legalmente establecidos: Derechos de acceso, rectificación, supresión,
oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones
individualizadas automatizadas. El ENCARGADO DEL TRATAMIENTO deberá dar traslado de la
solicitud de forma inmediata al RESPONSABLE DEL TRATAMIENTO y, a no más tardar, dentro del
plazo de cinco (5) días hábiles a contar desde su recepción, para que el RESPONSABLE DEL
TRATAMIENTO resuelva debidamente dicha solicitud.

10. Adhesión a Códigos de Conducta y Certificaciones.

El ENCARGADO DE TRATAMIENTO manifiesta que se encuentra adherido a los siguientes

Códigos de Conducta y/o que ha obtenido las Certificaciones que se indican, lo que avala la
existencia de garantías suficientes en la seguridad de la información tratada en sus sistemas y del
respeto a los derechos de las personas titulares de los datos personales. El ENCARGADO DEL
TRATAMIENTO pondrá a disposición del RESPONSABLE DEL TRATAMIENTO la documentación
acreditativa.

INCLUIR INFORMACIÓN SOBRE CODIGOS DE CONDUCTA O CERTIFICACIONES ISOs, ETC…

DEL ENCARGADO DE TRATAMIENTO - SI NO EXISTEN: INDICAR: “NO APLICA”.

11. Obligaciones del RESPONSABLE DEL TRATAMIENTO.

Corresponden al RESPONSABLE DEL TRATAMIENTO las siguientes obligaciones:

• Entregar al ENCARGADO DEL TRATAMIENTO los datos personales objeto de tratamiento.

• Realizar el análisis de riesgos que puedan derivar de la actividad de tratamiento que va a ser
objeto de encargo y, en base a tal análisis, indicar al ENCARGADO DE TRATAMIENTO las
medidas técnicas y organizativas que deberá implementar para la prestación del servicio objeto
de encargo de tratamiento.

• Realizar, si fuese necesario, una evaluación del impacto en la protección de datos personales
de las operaciones de tratamiento a realizar por el ENCARGADO DEL TRATAMIENTO.

• Realizar, en su caso, las consultas previas a las Autoridades de Control que correspondan.

• Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte
del ENCARGADO DEL TRATAMIENTO.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 6
 • Supervisar los tratamientos de datos realizados por el ENCARGADO DE TRATAMIENTO,
incluida la realización de inspecciones y auditorías.

12. Responsabilidades.

En este contrato el ENCARGADO DEL TRATAMIENTO se compromete a cumplir con las obligaciones
establecidas y en la legislación española de protección de datos.

De conformidad con lo establecido en el artículo 28.10 del RGPD y normativa de protección de datos, y
si el ENCARGADO DEL TRATAMIENTO infringiese lo establecido en el RGPD al determinar los fines y
medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

13. Entrada en vigor.

El presente Contrato entra en vigor en la fecha de su firma y estará vigente hasta la fecha de
terminación del contrato de servicios del que este Contrato es accesorio y siempre que se hayan
cumplido las obligaciones contempladas en el presente Contrato, con independencia de cualquier otra
obligación de carácter legal que fuera aplicable a las Partes tras la terminación de dicha relación.

Y en prueba de conformidad con cuanto antecede y con voluntad de obligarse, las Partes firman el
presente documento en duplicado ejemplar en el lugar y fecha indicados.

D. ________________________ D. ___________________

El RESPONSABLE DEL TRATAMIENTO El ENCARGADO DEL TRATAMIENTO

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 7
 ANEXO I DATOS PERSONALES OBJETO DE TRATAMIENTO

OBJETO INDICAR EL OBJETO DEL CONTRATO DE SERVICIOS

☐ Recogida
☐ Registro
☐ Estructuración
☐ Modificación
☐ Conservación
☐ Extracción
☐ Consulta
TRATAMIENTO Comunicación por transmisión
☐
Difusión
A REALIZAR ☐
Interconexión
☐ Cotejo
☐ Limitación
☐ Supresión
☐ Destrucción
☐ Conservación
☐ Comunicación
☐ Otros: ..........................................

☐ Gestión de clientes, contable, fiscal y administrativa

☐ Gestión de nóminas
☐ Prestación de servicios de solvencia patrimonial y crédito
☐ Servicios económico-financieros
☐ Servicios de seguros
☐ Publicidad y prospección comercial
Prestación de servicios de certificación electrónica
☐
Gestión y control sanitario
☐
FINALIDAD DEL Seguridad privada
☐
Videovigilancia
TRATAMIENTO ☐ Recursos humanos
☐ Formación
☐ Selección y desarrollo de personal
☐ Prevención de riesgos laborales
☐ Cumplimiento/incumplimiento de obligaciones dinerarias
☐ Análisis de perfiles
☐ Prestación de servicios de comunicaciones electrónicas
☐ Comercio electrónico
☐ Gestión de asistencia social
☐ Seguridad y control de acceso a edificios

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 8
 ☐ Fines estadísticos, históricos o científicos
☐ Otros: ..........................................

☐ Datos de carácter identificativo

☐ Características personales
☐ Académicos y profesionales
☐ Información comercial
☐ Circunstancias sociales
TIPO DE DATOS Detalles del empleo
☐
Económicos, financieros o de seguros
☐
Información comercial
☐
Transacciones de bienes o servicios
☐
Categorías especiales de datos
☐ Otros: ..........................................

☐ Empleados
☐ Candidatos de empleo
☐ Becarios
☐ Menores de edad / incapacitados legalmente
☐ Padres o tutores
☐ Pacientes
Clientes y usuarios
TITULARES DE ☐
Proveedores
☐
DATOS Asociados o miembros
☐
Propietarios o arrendatarios
☐ Personas de contacto
☐ Representante legal
☐ Solicitantes
☐ Beneficiarios
☐ Cargos públicos
☐ Otros: ..........................................

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 9
 ANEXO II MEDIDAS DE SEGURIDAD

MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y “TRATAMIENTOS AUTOMATIZADOS”

MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

1. Funciones y obligaciones del personal del ENCARGADO DE TRATAMIENTO.

Conocer y cumplir con las medidas de seguridad establecidas por el RESPONSABLE DEL
TRATAMIENTO al ENCARGADO DEL TRATAMIENTO, así como las consecuencias en que pudiera
incurrir en caso de incumplimiento.

2. Registro de incidencias.

Establecer un procedimiento de registro de incidencias. Gestionar y notificar las incidencias

ocurridas, estableciendo un registro en el que conste: tipo, momento de su detección, persona que
la notifica, efectos y medidas correctoras.

3. Control de acceso.

Establecer una relación actualizada de usuarios y accesos autorizados.

Controlar los accesos permitidos a cada usuario según las funciones asignadas. Establecer
mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados.
Conceder permisos de acceso sólo por personal autorizado.
Establecer las mismas condiciones para personal ajeno con acceso a los recursos de datos.

4. Gestión de soportes y documentos.

Disponer de un inventario de soportes, identificando el tipo de información que contienen, o sistema

de etiquetado.
Disponer de un acceso restringido al lugar de almacenamiento.
Establecer un sistema de autorización de las salidas de soportes (incluidas a través de email)
Disponer de medidas para el transporte y el desecho de soportes.

4. Identificación y autenticación.

Instalar sistemas de Identificación y autenticación personalizada, y establecer un procedimiento de

asignación y distribución de contraseñas.
Almacenamiento ininteligible de las contraseñas, y establecer una periodicidad del cambio de
contraseñas, no superior a un año.
Establecer un registro de entrada y salida de soportes: documento o soporte, fecha,
emisor/destinatario, número, tipo de información, forma de envío, responsable autorizado para
recepción/entrega.

5. Copias de respaldo y recuperación.

Realizar copias de respaldo semanales.

Disponer de procedimientos de generación de copias de respaldo y recuperación de datos.
Verificar semestralmente los procedimientos.
En caso de pérdida o destrucción de ficheros, disponer de procedimientos de reconstrucción de los
datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo
permita.
Si se realizan pruebas con datos reales, hacer una copia de seguridad y aplicar el nivel de
seguridad correspondiente.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 10
 MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Además de las medidas de seguridad de nivel básico, indicadas anteriormente, deberán implantarse
las siguientes medidas de seguridad de nivel medio.

6. Responsable de seguridad.

Designar uno o varios responsables de seguridad para coordinar y controlar las medidas definidas.

7. Auditoría.

Realizar una auditoría, al menos cada dos años, interna o externa, o bien ante modificaciones
sustanciales en los sistemas de información con repercusiones en seguridad.
Verificar y controlar la adecuación de las medidas.
Elaborar un informe de detección de deficiencias y propuestas correctoras.
Llevar a cabo un análisis del mismo y elevar las conclusiones al Responsable del tratamiento.

8. Registro de incidencias.

Anotar los procedimientos de recuperación de datos, persona que lo ejecuta, datos restaurados, y
en su caso, datos grabados manualmente. Requerir la autorización del Responsable del fichero para
la recuperación de datos.

9. Control de acceso.

Controlar el acceso físico a los locales donde se encuentren ubicados los equipos físicos que dan
soporte a los sistemas de información.

10. Identificación y autenticación.

Establecer un límite de intentos reiterados de acceso no autorizado.

11. Gestión de soportes y documentos.

Registrar la entrada y salida de soportes: Documento o soporte, fecha, emisor/destinatario, número,

tipo de información, forma de envío, responsable autorizado para recepción/entrega.

MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Además de las medidas de seguridad de nivel básico y medio, indicadas anteriormente, deberán
implantarse las siguientes medidas de seguridad.

12. Gestión y distribución de soportes.

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles

y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y
documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando
dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o
manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren
fuera de las instalaciones que están bajo el control del responsable del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no

permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 11
documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar
tratamientos en entornos desprotegidos.

13. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los
mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan,
que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando
elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su
recuperación.

14. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora
en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita
identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable
de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de

control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las
siguientes circunstancias:
a. Que el responsable del fichero o del tratamiento sea una persona física.
b. Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y
trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse
constar expresamente en el documento de seguridad.

15. Telecomunicaciones.

Cuando, deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter
personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no
sea inteligible ni manipulada por terceros.

MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS Y

TRATAMIENTOS “NO AUTOMATIZADOS”

MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

1. Criterios de archivo.

El archivo de los documentos debe realizarse según criterios que faciliten su consulta y localización
para garantizar el ejercicio de los derechos de los interesados.

2. Dispositivos de almacenamiento.

Disponer de dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 12
3. Custodia de los soportes.

Durante la revisión o tramitación de los documentos, la persona a cargo de los mismos debe ser
diligente y custodiarlos para evitar accesos no autorizados.

MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

4. Responsable de seguridad.

Designar uno o varios responsables de seguridad para coordinar y controlar las medidas definidas.

5. Auditoría.

Realizar una auditoría, al menos cada dos años, interna o externa.

MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Además de las medidas de seguridad de nivel básico y medio, indicadas anteriormente, deberán
implantarse las siguientes medidas de seguridad.

6. Almacenamiento de la información.

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no
automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté
protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo
equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los
documentos incluidos en el fichero.
2. Si, atendidas las características de los locales de que dispusiera el ENCARGADO DEL
TRATAMIENTO, no fuera posible cumplir lo establecido en el apartado anterior, el responsable
adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de
seguridad.

7. Copia o reproducción.

1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo
el control del personal autorizado en el documento de seguridad.
2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se
evite el acceso a la información contenida en las mismas o su recuperación posterior.

8. Acceso a la documentación.

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.

2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de
documentos que puedan ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado
de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

9. Traslado de documentación.

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán

adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 13
 ANEXO III FUNCIONES Y OBLIGACIONES DE LOS USUARIOS

Las principales obligaciones del personal del ENCARGADO DEL TRATAMIENTO deberán ser
conocidas y respetadas cuando trabajen con datos del RESPONSABLE DEL TRATAMIENTO:

▪ Los usuarios autorizados tendrán un código único de usuario asociado a su contraseña, y será
únicamente conocidos por ellos.
▪ El código y la contraseña son confidenciales. Cualquier incidencia con los mismos deberá ser
comunicada y procederse inmediatamente a su cambio.
▪ Cuando no se esté utilizando el equipo de trabajo, la pantalla deberá ser bloqueada.
▪ No podrán introducirse elementos como software no autorizado, archivos o USBs que
contengan virus, y cualquier elemento que pudiera poner en peligro la integridad.
▪ Cuando se produzca cualquier incidencia, se deberá notificar al Responsable de Seguridad, o
en su caso, al Delegado de Protección de Datos (DPO) del ENCARGADO DEL
TRATAMIENTO haciendo uso del procedimiento establecido.
▪ No deberán almacenarse ficheros con datos personales en las unidades locales de los
ordenadores personales sin autorización del Responsable de Seguridad, o en su caso, del
DPO.
▪ En caso de creación de ficheros temporales, éstos serán borrados una vez que hayan dejado
de ser necesarios para los fines que motivaron su creación.
▪ Los soportes informáticos que contengan datos personales, así como los documentos en papel
u otros soportes, deberán ser almacenados bajo el control de cada usuario responsable de los
mismos (por ejemplo: En cajones o armarios con llave).
▪ El traslado de soportes informático o papel que contenga datos personales deberá ser
notificado al Responsable de Seguridad, o en su caso, al DPO, haciendo uso del procedimiento
establecido.
▪ Los equipos portátiles se deberán mantener siempre controlados, evitando su posible
sustracción.
▪ El personal está sujeto a la obligación de confidencialidad, quedando obligados al deber de
secreto respecto de la información y datos que conozcan, obligaciones que subsistirán aún
después de finalizar la relación con el RESPONSABLE DEL TRATAMIENTO.
▪ Todo usuario deberá utilizar la red corporativa del RESPONSABLE DEL TRATAMIENTO, así
como la información y datos accesibles a través de la misma de forma diligente, sin incurrir en
actividades que puedan ser consideradas ilícitas o ilegales, que infrinjan los derechos de
terceros o que puedan atentar contra la moral o las normas de buen uso de las redes
telemáticas.
▪ El usuario deberá devolver todos los materiales a los que haya tenido acceso inmediatamente
después de la finalización de las tareas que hayan originado el uso temporal de los mismos y,
en cualquier caso, a la finalización de los trabajos desarrollados para el RESPONSABLE DEL
TRATAMIENTO.

▪ Están prohibidas expresamente las siguientes actividades:

1. Intentar distorsionar o falsear los registros log del sistema.

2. Intentar descifrar cualquier elemento de seguridad empleado.
3. Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o
documentos electrónicos titularidad del RESPONSABLE DEL TRATAMIENTO.
4. Realizar acciones que dañen, interrumpan o generen errores en los sistemas
Informáticos.
5. Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos
de otros usuarios.
6. Intentar aumentar el nivel de privilegios de un usuario en el Sistema de Información.

Modelo Contrato de Encargado del Tratamiento - Reglamento Europeo de Protección de Datos

Medidas seguridad nivel ALTO. 14