RetBy - Área de Emplead@

En virtud de lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LODGDD) y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), las partes suscriben el presente acuerdo de encargado del tratamiento, por motivo de la prestación de servicios que viene llevando a cabo el proveedor “ZEMMA BROKERS, S.L.U.” con domicilio en C/ Romero, Nº32 - 45122 Argés (Toledo) y provista de CIF B87548087. A tal fin, ambas partes (las “Partes”)

EXPONEN:

I. Que las Partes vienen manteniendo una relación jurídica para la prestación de servicios de Retribución Flexible para los empleados a través de la plataforma www.retby.com (los “Servicios”) en cuya virtud el Proveedor deberá acceder a datos de carácter personal responsabilidad de la Sociedad. Dichos datos se reflejan en la “Actividad de Tratamiento” de recursos humanos.

II. Que la EMPRESA, como Responsable del Tratamiento de datos personales, tiene que recopilar el consentimiento previo de los usuarios para poder habilitar el acceso de éstos a la plataforma www.retby.com (ver “Apéndice I” adjunto en el presente contrato).

III. Que, a partir de la fecha de la firma del presente contrato, la relación entre las Partes se regirá en materia de protección de datos, por el presente acuerdo de Encargado del tratamiento (el “Acuerdo”). por lo establecido en el artículo 28 del RGPD, y especialmente por las siguientes

ESTIPULACIONES

Primera.- Objeto

Para la prestación de los Servicios y ejecución de las prestaciones derivadas del cumplimiento del Contrato, el Proveedor podrá tener acceso a determinados datos de carácter personal de la Sociedad y, en particular, a Datos identificativos.

La prestación de servicios por parte del Proveedor puede incluir la realización, entre otros, de alguno de los siguientes tratamientos: recogida, registro, estructuración, modificación, conservación, consulta, comunicación, limitación, supresión y/o destrucción.

Segunda- Entrada en vigor y duración

El presente Acuerdo entrará en vigor la fecha de la firma del presente contrato y permanecerá en vigor en tanto permanezca vigente la relación jurídica para la prestación de servicios existente entre las Partes.

Tercera- Obligaciones del Proveedor

El Proveedor, en su calidad de encargado del tratamiento, declara y garantiza a la Sociedad lo siguiente:

a) Que cuenta con suficiente capacidad técnica para cumplir las obligaciones derivadas del Contrato con pleno respeto a la normativa en materia de protección de datos de carácter personal, pudiéndose comprometer, en la medida en que la prestación de los Servicios lo requiera, al cumplimiento de las exigencias del RGPD.

b) Que mantendrá el secreto y la confidencialidad de los datos de carácter personal responsabilidad de la Sociedad a los que tendrá acceso.

c) Que tratará los datos de carácter personal a los que tendrá acceso exclusivamente por cuenta de la Sociedad y, en todo caso, de conformidad con las instrucciones que le sean transmitidas por la Sociedad. Del mismo modo, se obliga a destinar los citados datos únicamente a la prestación de los Servicios y, en consecuencia, a no utilizarlos o aplicarlos de ninguna forma que exceda dicha finalidad.

d) Que no comunicará a terceros, ni siquiera para su conservación, los datos a los que tenga acceso en virtud de la prestación de los Servicios, ni tampoco las elaboraciones, evaluaciones o procesos similares que lleve a cabo con dichos datos, ni duplicará o reproducirá toda o parte de la información, resultados o relaciones sobre dichos datos, exceptuando aquellos supuestos en que legalmente resulte exigible.

e) Que pondrá a disposición de la Sociedad toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice la Sociedad, u otro auditor en su nombre.

Las auditorías podrán realizarse periódicamente, sobre una base planificada o ad hoc, previa notificación con un plazo de preaviso razonable, en el horario laboral habitual del Proveedor.

Los requisitos anteriores no se aplicarán en caso de que la auditoría sea iniciada por una autoridad competente o en caso de que la Sociedad considere de forma razonable que estos requisitos previos podrían poner en peligro el propósito de la auditoría.

En caso de que la auditoría diese como resultado que el Proveedor, o los tratamientos de datos de carácter personal realizados por el Proveedor, no se ajustan a la normativa en materia de protección de datos que resulte de aplicación, las Partes deberán analizar dicho resultado y, en relación con dicho incumplimiento, el Proveedor deberá adoptar de inmediato todas las acciones rectificativas necesarias para su cumplimiento según lo estipulado con la Sociedad. En caso de no proceder a las subsanaciones necesarias, la Sociedad podrá resolver el Contrato por incumplimiento del Proveedor.

f) Que tendrá designado un delegado de protección de datos o un responsable de la llevanza de esta área y cumplimiento de la legislación de protección de datos, y comunicará su identidad y datos de contacto a la Sociedad, a la cual deberá mantener informada sobre cualquier modificación y actualización de la mencionada identidad y datos de contacto. A estos efectos, el Proveedor aporta como Apéndice I la correspondiente declaración responsable sobre su obligación de designar un delegado de protección de datos o, en su defecto, un responsable en esta materia.

g) Que garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que les informará convenientemente. Para ello, el Proveedor mantendrá a disposición de la Sociedad la documentación acreditativa del cumplimiento de la obligación establecida en este párrafo.

h) Que garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales bajo su cargo.

i) Que dará apoyo a la Sociedad en la realización de las evaluaciones de impacto relativas a los datos de carácter personal a los que tenga acceso, cuando proceda y así lo solicite la Sociedad.

j) Que dará apoyo a la Sociedad en la realización de las consultas previas a la autoridad de control, cuando proceda.

k) Que, en caso de que el Proveedor considere que el cumplimiento de una determinada instrucción de la Sociedad pudiese comportar un incumplimiento del RGPD o de cualesquiera otras normas aplicables que lo modifiquen o complementen, el Proveedor deberá comunicarlo inmediatamente a la Sociedad y solicitar a ésta que retire, enmiende o confirme la instrucción pertinente. El Proveedor podrá suspender la aplicación de la instrucción pertinente a la espera de la decisión de la Sociedad que corresponda respecto a la retirada, enmienda o confirmación de la instrucción correspondiente.

l) Que, al finalizar la prestación de los Servicios, y a solicitud de la Sociedad, destruirá o devolverá con carácter inmediato a la Sociedad, según la Sociedad le indique, los datos de carácter personal a los que haya tenido acceso, así como los documentos o soportes en los que cualquiera de estos datos conste. En especial, el Proveedor se obliga a devolver o destruir: (i) los datos incluidos en ficheros responsabilidad de la Sociedad, que éste hubiera puesto a disposición del Proveedor como consecuencia de la prestación de los Servicios; (ii) aquellos que, en su caso, hubiesen sido generados a raíz del tratamiento por parte del Proveedor de los datos responsabilidad de la Sociedad; y (iii) todos los soportes o documentos en que cualquiera de estos datos conste. No procederá la destrucción de los datos cuando exista una obligación legal de conservación, en cuyo caso el Proveedor devolverá a la Sociedad, según esta le indique, los datos, debiendo garantizar este último dicha conservación.

m) Que implantará los mecanismos para: (I) garantizar la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios de tratamiento; (II) restaurar la disponibilidad y el acceso a los datos de forma rápida, en caso de incidente físico o técnico; (III) verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; y (IV) seudonimizar y cifrar los datos, en su caso.

n) Que el Proveedor notificará, como encargado del tratamiento, a la Sociedad, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, y a través de correo electrónico, cualquier incidente, sospechado o confirmado, relativo a la protección de los datos, cualquier tratamiento de datos que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño de datos de carácter personal dentro del área de responsabilidad del Proveedor (causada por el Proveedor, su personal, agentes o subcontratistas) y cualquier incidente que pueda ser considerado una vulneración de seguridad de los datos, junto con toda la información relevante para la documentación y comunicación de la incidencia a las autoridades o a los interesados afectados. En este sentido, si se dispone de ella, se facilitará, como mínimo, la información siguiente:

· Descripción de la naturaleza de la violación de la seguridad de los datos, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

· Nombre y datos de contacto del delegado de protección de datos, en su caso, o de otra persona de contacto de la que pueda obtenerse más información;

· Descripción de las posibles consecuencias de la violación de la seguridad de los datos; y

· Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Adicionalmente, el Proveedor iniciará de inmediato una investigación completa de las circunstancias relacionadas con dicho incidente y presentará a la Sociedad su informe u observaciones sobre la misma, colaborando plenamente con la investigación que pudiera realizar la Sociedad y prestando a la Sociedad la asistencia requerida para la investigación de dicho incidente.

Asimismo, asistirá a la Sociedad, en caso de producirse una violación de la seguridad de los datos personales, de manera que se garantice el cumplimiento de las obligaciones de notificación de una violación de la seguridad de los datos personales de acuerdo con el RGPD (en particular, artículos 33 y 34 del RGPD) y de cualesquiera otras normas aplicables que lo modifiquen, complementen o que en el futuro puedan promulgarse.

o) Que asistirá a la Sociedad cuando ésta le requiera mediante simple solicitud, proporcionándole cualquier clase de información y/o documentación que ésta precise para la adecuada respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad de datos que pudiera recibir de los interesados, todo ello en plazos razonables y, en cualquier caso, con antelación suficiente para que la Sociedad pueda cumplir con aquellos plazos que legalmente resulten de aplicación para la atención de los citados derechos.

p) Que, en aquellos supuestos que el Proveedor recibiera directamente una solicitud de acceso, rectificación, supresión, oposición, limitación del tratamiento y/o portabilidad por el afectado, titular de los datos objeto de tratamiento, se compromete a dar traslado de dicha solicitud a la Sociedad. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, conjuntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud, todo ello al objeto de que la Sociedad pueda atenderla debidamente en los plazos legalmente establecidos.

q) Que no subcontratará los Servicios a tercera parte alguna, salvo que cuente con la autorización previa y por escrito de la Sociedad o sean servicios auxiliares que el Proveedor necesita para prestar sus servicios de manera correcta.

En caso de que el Proveedor necesite subencargar un tratamiento, estará obligado a informar a la Sociedad de los servicios y tratamientos que pretende subcontratar, de la identidad del subcontratista y de sus datos de contacto. Esta notificación deberá realizarse por el Proveedor con al menos dos semanas de antelación a la firma de la subcontratación, período durante el cual la Sociedad podrá oponerse a la subcontratación.

El subencargado estará igualmente sujeto a las obligaciones impuestas al Proveedor en este Acuerdo y a las instrucciones que en cada momento diera la Sociedad. En este sentido, el Proveedor está obligado a plasmar la relación de subencargo del tratamiento y las obligaciones del subencargado en un contrato que firmen el Proveedor y el subencargado, que contenga las mismas obligaciones y compromisos que contiene el presente Acuerdo. En caso de incumplimiento por parte del subencargado de sus obligaciones en materia de protección de datos, el Proveedor asumirá toda la responsabilidad frente a la Sociedad por dichos incumplimientos, como si el incumplimiento hubiese sido cometido por el Proveedor.

r) Que mantendrá por escrito un registro de todas las categorías de actividades de tratamiento efectuadas en virtud del Contrato, que contenga:

· El nombre y los datos de contacto del Proveedor y, en su caso, del representante de la Sociedad o del Proveedor y del delegado de protección de datos;

· Las categorías de tratamientos efectuados en virtud del Contrato; y

· En caso de realizarse transferencias internacionales (que deberán estar, en todo caso, regularizadas o autorizadas por la Sociedad), la identificación del tercer país de destino de los datos responsabilidad de la Sociedad y la documentación de garantías adecuadas.

s) Que no llevará a cabo transferencias internacionales de los datos de carácter personal a los que tenga acceso responsabilidad de la Sociedad, salvo que cuente con la autorización previa y por escrito de la Sociedad o se encuentren debidamente regularizadas.

t) Que el Proveedor se compromete a implementar todas aquellas medidas técnicas y organizativas en materia de seguridad que resulten aplicables de conformidad con lo previsto en la normativa de protección de datos aplicable en cada momento (en particular y con carácter no limitativo, las previstas en el artículo 32 del RGPD).

Tras el análisis pertinente del contexto particular de esta relación, las Partes acuerdan aplicar, por el momento, las medidas de seguridad a las que se hace referencia en el Apéndice II.

En caso de que, como consecuencia de posibles cambios normativos o variaciones en la tipología de datos de carácter personal a los que el Proveedor vaya a tener acceso, la Sociedad considere conveniente la aplicación de medidas de seguridad adicionales o diferentes de las pactadas, ambas Partes adaptarán en consecuencia y modificarán las medidas de seguridad a las que se hace referencia en el Apéndice II, tras la realización del correspondiente análisis de riesgo, si procede.

A este respecto, se deja constancia de que la adopción de las medidas de seguridad adicionales que resulten exigibles por razón de los requerimientos dimanantes del RGPD o de las normas estatales que lo complementen no se considerará motivo para justificar una modificación de los precios de los servicios que se puedan ver afectados por la adopción de dichas medidas.

Cuarta.- Prohibición de otros usos

De conformidad con lo establecido en la legislación de protección de datos, el Proveedor será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del presente Acuerdo, respondiendo de las infracciones en que hubiera incurrido personalmente.

Quinta.- Cláusula de responsabilidad

Cada Parte será responsable de forma individual e independiente de dar cumplimiento a sus respectivas obligaciones en materia de protección de datos personales. Cada Parte será responsable y mantendrá indemne a la otra de cualquier daño y perjuicio de cualquier naturaleza que pudiera sufrir por el incumplimiento por la primera de las obligaciones aquí establecidas y/o de las que legamente le resulten de aplicación.

Sexta.- Información a los firmantes

Las Partes tratarán los datos de carácter personal referentes a personas firmantes de este Acuerdo sobre la base de su interés legítimo, y con la única finalidad de garantizar el mantenimiento de dicha relación y por el período que dure la misma, pudiendo conservarlos posteriormente bloqueados durante los plazos que se deriven de la prescripción de las acciones legales relacionadas con ese tratamiento. Los interesados podrán ejercitar en cualquier momento sus derechos de acceso, rectificación, supresión, limitación al tratamiento y oposición dirigiéndose al Responsable del Tratamiento a la dirección que figura en la firma del presente acuerdo. Además, también podrá dirigirse a la autoridad competente para reclamar sus derechos. A los efectos oportunos, la Sociedad le informa de que (a) los datos de los firmantes no serán cedidos a ningún tercero, a excepción de los organismos públicos que, en su caso, corresponda por obligación legal; y que (b) podrán tener acceso a sus datos otras sociedades del Grupo de la Sociedad, así como otros terceros encargados del tratamiento para la prestación de servicios de mensajería y gestión documental y de servicios informáticos.

Y en prueba de conformidad, el Proveedor acepta el presente Acuerdo propuesto por la Sociedad, que formará parte indivisible e inseparable de la relación jurídica que éstos mantienen por motivo de la prestación de servicios llevada a cabo por el Proveedor.

APÉNDICE I

FICHA LEGITIMACIÓN DEL EMPLEADO – RETRIBUCIÓN FLEXIBLE -

A los efectos de lo que dispone la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LODGDD) y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), le informamos que los datos de carácter personal se recaban con la finalidad de prestar y mantener los servicios de retribución flexible. El tratamiento de sus datos está basado en el consentimiento que se le solicita previamente a través de la EMPRESA con la que el usuario mantiene una relación laboral y, posteriormente mediante el formulario de contacto de la web www.retby.com.

ZEMMA BROKERS, S.L.U. (encargado del tratamiento), queda totalmente exonerado de cualquier responsabilidad si la información facilitada voluntariamente, fuese incompleta, no veraz o irreal por los USUARIOS de la página web www.retby.com.

Usted tiene derecho a ejercer sus derechos de acceso, rectificación, supresión, portabilidad de sus datos, de limitación y oposición a su tratamiento dirigiéndose por escrito a su EMPRESA.

En cuanto a los datos personales referentes a otras personas físicas que, por motivo de la declaración anual de situación familiar a efectos de IRPF, deba comunicar a su EMPRESA deberá, con carácter previo a su comunicación, informarles de los extremos contenidos en los párrafos anteriores.

Así mismo, está obligado al secreto profesional respecto aquellos datos personales a los que pueda tener acceso con motivo de esta relación laboral y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con su EMPRESA.

Enterado y conforme con lo expuesto en los apartados anteriores, usted consiente expresamente y autoriza para que trate sus datos personales que voluntariamente facilita, según las finalidades expuestas en este escrito y para cederlos a las entidades públicas y privadas que sean necesarias para llevar a cabo esta relación laboral.

Esta autorización tiene validez hasta su revocación por parte del titular de los datos.

Aceptación del titular de los datos:

APÉNDICE II

DECLARACIÓN DEL RESPONSABLE SOBRE LA OBLIGACIÓN DE DESIGNAR UN DELEGADO DE PROTECCIÓN DE DATOS (*)

El Proveedor manifiesta bajo su exclusiva responsabilidad que:

No tiene obligación de designar un delegado de protección de datos por no cumplirse los requisitos previstos en el RGPD, si bien la identidad y datos de contacto del responsable del cumplimiento de esta materia en el seno de la compañía del Proveedor son los siguientes:

- Identidad: ………………………………………..

- E-mail:…………………………………………....

- Teléfono:………………………………………….

En el supuesto de que la identidad y datos de contacto anteriores se vean modificados durante la vigencia de la relación jurídica existente entre las partes por motivo de la prestación de servicios por parte del Proveedor, éste se compromete a comunicárselo de inmediato a la Sociedad y a facilitarle los datos de identidad y contacto debidamente actualizados.

Los datos de contacto del delegado de protección de datos del Proveedor son los siguientes:

- Identidad: ………………………………………..

- E-mail: …………………………………………....

- Teléfono:………………………………………….

(*) Designación obligatoria de un Delegado de Protección de Datos:

Ø Cuando el tratamiento lo lleva a cabo una autoridad u organismo públicos.

Ø Cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala.

Ø Cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.

APÉNDICE III

MEDIDAS DE SEGURIDAD A IMPLEMENTAR POR EL ENCARGADO DEL TRATAMIENTO RESPECTO DE LOS DATOS TRATADOS EN VIRTUD DEL PRESENTE ACUERDO

1) Funciones y obligaciones del personal

· Las funciones y las obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal responsabilidad del Responsable del tratamiento y a los sistemas de información estarán claramente definidas y documentadas por el Encargado del tratamiento.

· El Encargado del tratamiento deberá adoptar las medidas necesarias para que el personal con acceso a datos personales responsabilidad del Responsable del tratamiento conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

2) Registro de incidencias

· El Encargado del tratamiento deberá disponer de un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal responsabilidad del Responsable del tratamiento que contendrá un registro en el que se haga constar:

o el tipo de incidencia

o el momento en que se ha producido, o en su caso, detectado

o la persona que realiza la notificación

o a quién se le comunica

o los efectos que se hubieran derivado de la misma

o las medidas correctoras aplicadas

3) Control de acceso

· Los usuarios deberán tener acceso únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

· El Encargado del tratamiento deberá elaborar una relación actualizada de los usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos, así como establecer los mecanismos necesarios para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

· Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios que debe establecer el Encargado del tratamiento.

· Proceso formal para el control y gestión de las autorizaciones respecto a los sistemas de información y siguientes dispositivos:

o Se mantendrá un control en la entrada y utilización de instalaciones, tanto habituales como alternativas.

o Se mantendrá un control en la entrada de equipos en producción, en particular, equipos que involucren criptografía.

o Se mantendrá un control en la entrada de aplicaciones en producción.

o Se mantendrá un control en el establecimiento de enlaces de comunicaciones con otros sistemas.

o Se mantendrá un control en la utilización de medios de comunicación (tanto habituales como alternativos).

o Se mantendrá un control en la utilización de soportes de información.

o Se mantendrá un control en la utilización de equipos móviles.

4) Gestión de soportes y documentos

· Los soportes y documentos que contengan datos de carácter personal del Responsable del tratamiento deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado. Criterios de archivo. Se debe garantizar la correcta conservación, localización y consulta de los documentos y posibilitar el ejercicio de derechos.

· La salida de soportes y documentos que contengan datos de carácter personal responsabilidad del Responsable del tratamiento, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales en donde estén ubicados los ficheros, deberá ser autorizada por la persona que designe el Encargado del tratamiento o encontrarse debidamente autorizada en el documento de seguridad. Dichos soportes deberán estar cifrados.

· En el traslado de la documentación que contenga datos de carácter personal responsabilidad del Responsable del tratamiento, el Encargado del tratamiento deberá adoptar las medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

· Siempre que se vaya a desechar cualquier documento o soporte que contenga datos de carácter personal responsabilidad del Responsable del tratamiento, el Encargado del tratamiento deberá proceder a su destrucción o borrado, mediante la adopción de las medidas necesarias para evitar el acceso a la información contenida en el mismo o su recuperación posterior.

· Los soportes que contengan datos de carácter personal especialmente sensibles se deberán identificar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

· Los dispositivos de almacenamiento que contengan datos de carácter personal especialmente sensibles se deberán disponer de mecanismos que obstaculicen su apertura, o en su defecto, medidas que impidan el acceso de personas no autorizadas.

· Se debe custodiar la documentación cuando no se encuentre en archivada en los dispositivos de almacenamiento.

· Se exigirá que los puestos de trabajo permanezcan despejados, sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento.

5) Identificación y autenticación

· El Encargado del tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios con acceso a datos de carácter personal responsabilidad del Responsable del tratamiento.

· El Encargado del tratamiento deberá establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información donde se encuentren los datos de carácter personal responsabilidad del Responsable del tratamiento y la verificación de que está autorizado.

· Si el mecanismo de autenticación se basa en la existencia de contraseñas deberá existir un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que indique el Responsable del tratamiento, que en ningún caso será superior a un año, y mientras estén vigentes se almacenarán de forma ininteligible.

6) Copias de respaldo y recuperación

· El Encargado del tratamiento deberá encargarse de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos responsabilidad del Responsable del tratamiento y deberá realizar copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

· Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. En el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

· El Encargado del tratamiento deberá verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos de carácter personal responsabilidad del Responsable del tratamiento.

· Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal del Responsable del tratamiento no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

7) Verificación

· El Encargado del tratamiento deberá someterse a un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas periódicamente o tras cada cambio importante en la organización.

8) Seguridad en los accesos a datos a través de redes de comunicaciones,

· Las medidas de seguridad exigibles a los accesos a través de redes de comunicaciones deben garantizar un nivel de seguridad equivalente a los accesos en modo local anteriormente mencionados.

· El Encargado del tratamiento deberá garantizar que las comunicaciones se realizan mediante protocolos de comunicación seguros (SSH, S-FTP, Editran, SSL, IPSec VPN, etc.).

9) Para encargados del tratamiento que desarrollen software

· El desarrollo de software se realizará sobre la base de las mejores prácticas de la industria, debiendo velar en todo el ciclo de desarrollo del software (diseño, desarrollo y prueba) por la seguridad de la información.

· El desarrollo de las aplicaciones web (tanto internas como externas siempre que incluyan acceso administrativo web a la aplicación) se basarán en directrices de codificación segura tales como la Guía OWASP (Open Web Application

· Security Project / Proyecto abierto de seguridad de aplicaciones web), por lo que el Encargado del tratamiento deberá enfocar la seguridad de aplicaciones informáticas desarrolladas considerando ésta todas sus dimensiones: personas, procesos y tecnologías.

CONTRATO DE ENCARGADO DEL TRATAMIENTO