ELISA LEDESMA RUBIO

CONTRATO DE PROTECCIÓN DE DATOS PERSONALES

ENCARGADO DEL TRATAMIENTO

Código: CLI-524

MADRID, 20/04/2023

Reunidos de una parte, PINA PAZ, JISCLIZ MIGUEL, como Responsable del tratamiento, con NIF Y6770866W y
domicilio social situado en AV DE PORTUGAL 157 3 B - 28011 MADRID (Madrid), en adelante, RESPONSABLE.

Y de otra parte, ELISA LEDESMA RUBIO, como Encargado del tratamiento, con NIF 50152119K y domicilio social
situado en C/ OCA, 110 1º D - 28025 MADRID (Madrid), en adelante, ENCARGADO.

Ambas partes se reconocen recíprocamente la capacidad legal necesaria para suscribir el presente contrato de
prestación de servicios con acceso a datos personales y

MANIFIESTAN

1. Que ambas partes tratarán los datos personales objeto de este contrato, conforme a lo dispuesto en el Reglamento
(UE) 2016/679, de 27 de abril de 2016 (GDPR), y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

2. Que el RESPONSABLE ha contratado los servicios del ENCARGADO consistentes en:

Servicios prestados: ASESORAMIENTO FISCAL.

Duración del contrato: vinculada al tiempo establecido en dicho contrato de servicios.

3. Que para el cumplimiento de dichos servicios, al ENCARGADO le resulta necesario el acceso y tratamiento de los
datos personales responsabilidad del RESPONSABLE.

4. Que, en cumplimiento de lo dispuesto en el artículo 28 del GDPR, el ENCARGADO ofrece suficientes garantías para
implementar políticas técnicas y organizativas apropiadas para aplicar las medidas de seguridad que establece la
normativa vigente y proteger los derechos de los interesados, por lo cual ambas partes convienen suscribir el presente
contrato con sujeción a los siguientes

INSTRUCCIONES PARA EL TRATAMIENTO DE DATOS

1. Objeto, naturaleza y finalidad del encargo

Finalidad del encargo: ASESORAMIENTO FISCAL.

Deber de informar el tratamiento al interesado: corresponderá exclusivamente al RESPONSABLE.
Ubicación del tratamiento: en los locales del ENCARGADO, con autorización del RESPONSABLE para incorporar
los datos a sus sistemas.

2. Tipo de datos personales y categoría de interesados

Tipo de datos personales a los que tendrá acceso el ENCARGADO: DNI o NIF, Nombre y apellidos, Dirección
postal o electrónica, Teléfono
Otros tipos de datos: Información comercial, Económicos, financieros y de seguro, Transacciones de bienes y
servicios.
Categorías de interesados: Empleados, Clientes y usuarios, Proveedores, Asociados y miembros, Propietarios o
arrendatarios.
Operaciones de tratamiento autorizadas: las estrictamente necesarias para alcanzar la finalidad del encargo.

3. Obligaciones y derechos del RESPONSABLE

ELISA LEDESMA RUBIO

P. 1 / 4
ELISA LEDESMA RUBIO

El RESPONSABLE garantiza que los datos facilitados al ENCARGADO se han obtenido lícitamente y que son adecuados,
pertinentes y limitados a los fines del tratamiento.

El RESPONSABLE pondrá a disposición del ENCARGADO cuanta información sea necesaria para ejecutar las prestaciones
objeto del encargo.

El RESPONSABLE advierte al ENCARGADO de que, si determina por su cuenta los fines y los medios del tratamiento, se
considerará responsable del tratamiento y estará sujeto a cumplir las disposiciones de la normativa vigente aplicables
como tal.

4. Obligaciones y derechos del ENCARGADO

El ENCARGADO se obliga a respetar todas las obligaciones que pudieran corresponderle como encargado del
tratamiento conforme a lo dispuesto en la normativa vigente y cualquier otra disposición o regulación que le fuera
igualmente aplicable.

El ENCARGADO no destinará, aplicará o utilizará los datos a los que tenga acceso para un fin distinto al encargo o que
suponga el incumplimiento de este contrato.

El ENCARGADO pondrá a disposición del RESPONSABLE la información necesaria para demostrar el cumplimiento del
contrato, permitiendo las inspecciones y auditorías necesarias para evaluar el tratamiento.

5. Personal autorizado para realizar el tratamiento

El ENCARGADO garantiza que el personal autorizado para realizar el tratamiento se ha comprometido de forma expresa
y por escrito a respetar la confidencialidad de los datos o que está sujeto a una obligación legal de confidencialidad de
naturaleza legal.

El ENCARGADO tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a
datos personales solo pueda tratarlos siguiendo las instrucciones del RESPONSABLE o esté obligada a ello en virtud de la
legislación vigente.

El ENCARGADO garantiza que el personal autorizado para realizar el tratamiento ha recibido la formación necesaria para
asegurar que no se pondrá en riesgo la protección de datos personales.

6. Medidas de seguridad

El ENCARGADO manifiesta estar al corriente en lo que concierne a las obligaciones derivadas de la normativa de
protección de datos, especialmente en lo que se refiere a la implantación de las medidas de seguridad para las
diferentes categorías de datos y de tratamiento establecidas en el artículo 32 del GDPR.

El ENCARGADO garantiza que se implementarán adecuadamente dichas medidas de seguridad y ayudará al

RESPONSABLE a cumplir las obligaciones establecidas en los artículos del 32 al 36 del GDPR, teniendo en cuenta la
naturaleza del tratamiento y la información a disposición del ENCARGADO.

El RESPONSABLE realizará un análisis de los posibles riesgos derivados del tratamiento para determinar las medidas de
seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de los interesados y, si
determinara que existen riesgos, trasladará al ENCARGADO un informe con la evaluación de impacto para que proceda
a la implementación de medidas adecuadas para evitarlos o mitigarlos.

El ENCARGADO, por su parte, deberá analizar los posibles riesgos y otras circunstancias que puedan incidir en la
seguridad que le sean atribuibles, debiendo informar, si los hubiere, al RESPONSABLE para evaluar su impacto.

De todas formas, el ENCARGADO garantiza que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la
naturaleza, el alcance, el contexto y los fines del tratamiento, implementará medidas técnicas y organizativas

ELISA LEDESMA RUBIO

P. 2 / 4
ELISA LEDESMA RUBIO

apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, que en su caso incluya,
entre otros:

Seudonimización y cifrado de datos personales.

Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de
tratamiento.
Restaurar la disponibilidad y el acceso a datos de forma rápida en caso de incidente físico o técnico.
Procedimientos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y
organizativas para garantizar la seguridad del tratamiento.

7. Violación de la seguridad

Las violaciones de seguridad de que tenga conocimiento el ENCARGADO deberán notificarse sin dilación indebida al
RESPONSABLE para su conocimiento y aplicación de medidas para remediar y mitigar los efectos ocasionados. No será
necesaria la notificación cuando sea improbable que comporte un riesgo para los derechos y las libertades de las
personas físicas.

La notificación de una violación de seguridad deberá contener, como mínimo, la siguiente información:

Descripción de la naturaleza de la violación.

Categorías y el número aproximado de interesados afectados.
Categorías y el número aproximado de registros de datos afectados.
Posibles consecuencias.
Medidas adoptadas o propuestas para remediar o mitigar los efectos.
Datos de contacto donde pueda obtenerse más información (DPO, responsable de seguridad, etc.).

8. Comunicación de los datos a terceros

El ENCARGADO no podrá comunicar los datos a terceros destinatarios, salvo que hubiera obtenido una autorización
previa y por escrito del RESPONSABLE; la cual, de existir, se anexará al presente contrato.

La transmisión de datos a autoridades públicas en el ejercicio de sus funciones públicas no precisará la autorización del
RESPONSABLE si dichas transmisiones son necesarias para alcanzar la finalidad del encargo.

9. Transferencias internacionales de datos

El ENCARGADO no podrá realizar transferencias de datos a terceros países u organizaciones internacionales no

establecidos en el EEE, salvo que hubiera obtenido una autorización previa y por escrito del RESPONSABLE; la cual, de
existir, se anexará al presente contrato..

10. Subcontratación del tratamiento de datos

El ENCARGADO no podrá subcontratar a un tercero la realización de ningún tratamiento de datos que le hubiera
encomendado el RESPONSABLE, salvo que este lo autorice de manera previa y por escrito, y quede constancia
anexando la autorización al presente contrato.

11. Derechos de los interesados

El ENCARGADO creará, siempre que sea posible y teniendo cuenta la naturaleza del tratamiento, las condiciones
técnicas y organizativas necesarias para asistir al RESPONSABLE en su obligación de responder a las solicitudes de los
derechos del interesado.

En caso de que el ENCARGADO reciba una solicitud para el ejercicio de estos derechos, debe comunicarlo al
RESPONSABLE de forma inmediata y, en ningún caso, más allá del día laborable siguiente al de la recepción de la
solicitud, adjuntando otras informaciones que puedan ser relevantes para resolverla.

ELISA LEDESMA RUBIO

P. 3 / 4
ELISA LEDESMA RUBIO

12. Responsabilidad

Conforme al artículo 82 del GDPR, el RESPONSABLE responderá de los daños y perjuicios causados en cualquier
operación de tratamiento en que participe y no cumpla lo dispuesto en el GDPR, y el ENCARGADO únicamente
responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del
GDPR dirigidas específicamente al ENCARGADO o haya actuado al margen o en contra de las instrucciones legales del
RESPONSABLE. Del mismo modo, el ENCARGADO estará exento de responsabilidad si demuestra que no es en modo
alguno responsable del hecho que haya causado los daños y perjuicios.

13. Fin de la prestación de servicio

Una vez finalice la prestación de servicios objeto de este contrato, si el ENCARGADO hubiera almacenado datos
personales, o cualquier otro documento y/o soporte que se le hubiera facilitado por cualquier medio, deberá
devolverlos, suprimirlos o entregarlos a un nuevo encargado, a elección del RESPONSABLE, incluidas las copias
existentes. El ENCARGADO deberá emitir un certificado de devolución o destrucción si así lo exigiera el RESPONSABLE.

No procederá la supresión de datos cuando se requiera su conservación por una obligación legal, en cuyo caso el
ENCARGADO procederá a la custodia de los mismos bloqueando los datos y limitando su tratamiento en tanto que
pudieran derivarse responsabilidades de su relación con el RESPONSABLE.

El ENCARGADO mantendrá el deber de secreto y confidencialidad de los datos incluso después de finalizar la relación
objeto de este contrato.

Y para que conste a los efectos oportunos, en prueba de conformidad de las partes, firman el presente contrato, por
duplicado, en el lugar y la fecha indicados en el encabezamiento.

PINA PAZ, JISCLIZ MIGUEL ELISA LEDESMA RUBIO

PINA PAZ, JISCLIZ MIGUEL ELISA LEDESMA RUBIO
Y6770866W 50152119K

ELISA LEDESMA RUBIO

P. 4 / 4