POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

Euro-Funding Advisory Group, S.L. (en adelante Euro-Funding), con domicilio social en la Plaza de la Independencia 8, planta 2, 28001 Madrid (España), inscrita en el Registro Mercantil de Madrid (España) al Tomo 26.920, Sección 8ª, folio 160, Hoja M-485130, con dirección de correo electrónico info@euro-funding.com, pone en conocimiento su política de privacidad y protección de datos de carácter personal, para informar sobre los tratamientos de datos personales realizados por Euro-Funding conforme a lo prevenido en la legislación de protección de datos y privacidad online:

  • RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos).
  • LOPD: Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
  • LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico.

ÁMBITO DE APLICACIÓN

La presente política aplica a los tratamientos de datos personales indicados más adelante, realizados por las siguientes mercantiles (en lo sucesivo, EURO-FUNDING):

  • Euro-Funding Advisory Group, S.L. con NIF B85727188
  • Euro-Funding Environmental, S.L. con NIF B97228639
  • Euro-Funding Multilateral Projects, S.L. con NIF 87994596
  • Euro-Funding Local & Indirect Taxes, S.L. con NIF B85997625
  • Euro-Funding EU Projects, S.L. con NIF B84460252
  • Euro-Funding International, S.L. con NIF B84460252
  • Euro-Funding Cost Solutions, S.L. con NIF B87514063
  • Euro-Funding Polonia, Spólka Z.O.O. con NIP 1080012306
  • Euro-Funding México S.A.P.I. de C.V. con R.F.C. EAG130520BB9

TRATAMIENTOS DE DATOS PERSONALES

Mediante la web, EURO-FUNDING realiza los tratamientos de datos personales que se detallan a continuación:

2.1 Usuario navegante (dirección IP)

  1. Finalidad del tratamiento: Gestionar los accesos al servidor web.
  2. Destinatarios: Autoridades competentes en caso de incidencia de seguridad.
  3. Plazo de tratamiento: El necesario técnicamente para gestionar su acceso. Posteriormente son bloqueados y conservados a disposición de las autoridades.
  4. Legitimidad: La base jurídica que legitima este tratamiento es la necesidad para la prestación del servicio de acceso al servidor web.

2.2 Usuario navegante (cookies)

  1. Finalidad del tratamiento: Las finalidades previstas en el aviso y en la política de cookies.
  2. Destinatarios: Empresas del Grupo Euro-Funding.
  3. Plazo de tratamiento: Máximo de 2 años.
  4. Legitimidad: La base jurídica que legitima este tratamiento es el consentimiento prestado a través del aviso de cookies.

2.3 Formulario o buzones de contacto

  1. Finalidad del tratamiento: Gestionar su solicitud de contacto y responder las cuestiones planteadas.
  2. Destinatarios: Las empresas que correspondan del Grupo Euro-Funding, según la naturaleza y contenido de su solicitud.
  3. Plazo de tratamiento: El necesario para contestar a su solicitud. Posteriormente, serán conservados durante 5 años para atender posibles reclamaciones.
  4. Legitimidad: La base jurídica que legitima este tratamiento es su consentimiento, prestado al solicitar el contacto.

2.4 Suscripción a boletín informativo y comunicaciones comerciales

  1. Finalidad del tratamiento: Gestionar su solicitud de alta en el boletín informativo y remitirle comunicaciones comerciales por correo electrónico sobre los servicios, iniciativas, eventos, jornadas, publicaciones, noticias, actividades y convocatorias del sector de la consultoría de compras, fiscal, cooperación internacional, eficiencia energética, fiscalidad inmobiliaria, fiscalidad internacional, sostenibilidad, fondos europeos, investigación, desarrollo e innovación. Las comunicaciones comerciales son remitidas mediante una herramienta específica que incluye enlaces e imágenes diminutas y transparentes que están asociadas a su dirección de correo electrónico. Así, cuando se descarga una de estas imágenes o se accede a los enlaces contenidos en el correo electrónico, Euro-Funding puede saber a efectos estadísticos si el correo se ha abierto o si se ha accedido a algún enlace desde dicho correo. Puede impedir estos usos configurando su gestor o programa de correo electrónico para impedir la descarga automatizada de imágenes, así como no accediendo a los enlaces incluidos en los correos electrónicos que reciba.
  2. Destinatarios: Empresas del Grupo Euro-Funding.
  3. Plazo de tratamiento: Indefinido mientras no retire su consentimiento, se oponga a futuras comunicaciones o solicite su derecho de supresión de datos.
  4. Legitimidad: La base jurídica que legitima este tratamiento es su consentimiento, prestado al suscribirse a estas comunicaciones.

2.5 Inscripción a eventos

  1. Finalidad del tratamiento: Gestionar su inscripción, asistencia y participación en los distintos eventos en los que se inscriba, así como, salvo que se oponga a ello, ofrecerle información comercial del Grupo Euro-Funding.
  2. Destinatarios: Empresas del Grupo Euro-Funding involucradas en la celebración del evento. Asimismo, sus datos son comunicados a terceros para la gestión de su asistencia al evento, tales como entidades gestoras del espacio físico o virtual para el control de acceso, que pueden estar ubicadas en Estados Unidos u otros países que no garantizan un nivel adecuado de protección de datos lo cual será informado en el proceso de inscripción. Eventualmente, otros terceros como patrocinadores o entidades colaboradoras pueden solicitar la cesión de sus datos; en este caso se indicará expresamente en el proceso de inscripción.
  3. Plazo de tratamiento: El necesario para la gestión del evento y el envío de invitación a recibir información comercial del Grupo Euro-Funding. Posteriormente, los datos son conservados, debidamente bloqueados, durante un plazo de 5 años tras la finalización del evento para atender posibles reclamaciones.
  4. Legitimidad: La base jurídica que legitima este tratamiento derivado del evento es su consentimiento, prestado al inscribirse en el evento. Con respecto al ofrecimiento de información comercial del Grupo Euro-Funding, la base jurídica que legitima el tratamiento es el interés legítimo, así como la relación previa existente.

2.6 Usuarios de redes sociales

  1. Finalidad del tratamiento: Gestionar las relaciones y contactos a través de redes sociales.
  2. Destinatarios: Sus datos serán corresponsabilidad de la empresa gestora de la red social en cuestión y de las Empresas del Grupo Euro-Funding involucradas en la gestión de la red social. Las empresas gestoras de las redes sociales pueden estar ubicadas en Estados Unidos u otros países que no garantizan un nivel adecuado de protección de datos lo cual es aceptado por los usuarios de la red social.
  3. Plazo de tratamiento: Indefinido, hasta que se decida cancelar la relación con Euro-Funding a través de la red social en cuestión. Euro-Funding no extrae datos de la red social salvo que sean necesarios para otros de los tratamientos previstos e informados a los interesados (p.e. procesos de selección).
  4. Legitimidad: La base jurídica que legitima este tratamiento derivado del evento es su consentimiento, prestado al inscribirse en el evento. Con respecto al ofrecimiento de información comercial del Grupo Euro-Funding, la base jurídica que legitima el tratamiento es el interés legítimo, así como la relación previa existente.

2.7 Encuestas de satisfacción

  1. Finalidad del tratamiento: Realización de encuestas de satisfacción.
  2. Destinatarios: Empresas del Grupo Euro-Funding involucradas en la prestación de los servicios objeto de encuesta.
  3. Plazo de tratamiento: El necesario para la gestión de la encuesta. Posteriormente, los datos son conservados, debidamente bloqueados, durante 5 años para atender posibles reclamaciones.
  4. Legitimidad: Cuando participe proactivamente en encuestas de satisfacción, la base jurídica que legitima este tratamiento es su consentimiento. Cuando reciba encuestas de satisfacción desde el Grupo Euro-Funding por haber recibido algún servicio del Grupo, la base jurídica que legitima este tratamiento es el interés legítimo por conocer su satisfacción.

2.8 Representantes de clientes, proveedores, potenciales colaboradores y otros contactos comerciales

  1. Finalidad del tratamiento: Gestión de la relación comercial y profesional. Sus datos identificativos y de contacto profesional pueden proceder de terceras entidades, tales como la empresa donde trabaja, plataformas online de contactos profesionales o repertorios de información comercial sobre empresas. Los datos personales facilitados para la facturación de los servicios contratados con nuestra empresa, serán utilizados para gestionar la misma y en base a lo recogido en la Ley 58/2003, de 17 de diciembre, General Tributaria por la obligatoriedad de emitir facturas para la entrega de bienes y prestación de servicios. Los datos estarán almacenados en nuestra base de datos desde su emisión hasta el plazo legalmente establecido.
  2. Agenda de Contactos: Los datos personales facilitados como proveedor de Euro-Funding, serán utilizados para realizar la gestión comercial que mantiene con nosotros. La base legal es la relación comercial. No cedemos datos a terceros salvo obligación legal. Sus datos estarán en nuestra base de datos mientras se mantenga la relación comercial o durante el plazo necesario para cumplir con las obligaciones legales.
  3. Destinatarios: Empresas del Grupo Euro-Funding involucradas en la relación comercial.
  4. Plazo de tratamiento: El necesario para la gestión comercial. Posteriormente, los datos son conservados, debidamente bloqueados, durante 15 años para atender posibles responsabilidades, incluso penales, derivadas del tratamiento.
  5. Legitimidad: Cuando participe proactivamente en encuestas de satisfacción, la base jurídica que legitima este tratamiento es su consentimiento. Cuando reciba encuestas de satisfacción por parte del Grupo Euro-Funding por haber recibido algún servicio del Grupo, la base jurídica que legitima este tratamiento es el interés legítimo por conocer su satisfacción.

2.9 Procesos de selección de personal laboral

  1. Finalidad del tratamiento: Gestionar su participación en los procesos de selección presentes y futuros de personal laboral para Euro-Funding y las empresas que componen el Grupo Euro-Funding. Sus datos identificativos y curriculares pueden proceder de terceras entidades, tales como plataformas online de empleo, agencias de selección de personal o empresas de trabajo temporal.
  2. Destinatarios: Empresas del Grupo Euro-Funding. Ocasionalmente, en función del puesto, es necesario comunicar sus datos a clientes o potenciales clientes para la aceptación de un proyecto.
  3. Plazo de tratamiento: 2 años, durante los cuales pude ser contactado para actualizar sus datos y renovar su consentimiento.
  4. Legitimidad: La base jurídica que legitima este tratamiento es su consentimiento prestado al apuntarse a un proceso de selección.

2.10 Procesos de selección de colaboradores externos, expertos y freelance

  1. Finalidad del tratamiento: Gestionar su participación en los procesos de selección presentes y futuros de colaboradores externos, expertos y freelance para proyectos de Euro-Funding y las empresas que componen el Grupo Euro-Funding en cualquier país del mundo. Sus datos identificativos y curriculares pueden proceder de terceras entidades, tales como plataformas online de contactos profesionales.
  2. Destinatarios: Empresas del Grupo Euro-Funding. Ocasionalmente, en función del puesto, es necesario comunicar sus datos a entidades y organismos europeos, así como clientes o potenciales clientes en cualquier país del mundo para la aceptación de un proyecto.
  3. Plazo de tratamiento: 7 años por exigencias de los organismos europeos.
  4. Legitimidad: La base jurídica que legitima este tratamiento es su consentimiento prestado al apuntarse a un proceso de selección.

2.11 Datos de menores de edad

Euro-Funding no recaba datos de menores de edad (18 años) sin la autorización de su padre, madre o tutor/a legal. Si alguien menor de edad cumplimenta el formulario de contacto o un formulario de la página web y no se acredita dicha autorización, se procederá a la destrucción de la solicitud sin atender su contenido.

CALIDAD DE LOS DATOS

El usuario debe mantener permanentemente actualizados sus datos, y en caso de no ser posible su actualización on-line, ha de comunicar a Euro-Funding como responsable del tratamiento, los cambios que fueren pertinentes en cada momento.

Euro-Funding, cancela, borra y/o bloquea los datos cuando resulten inexactos, incompletos o hayan dejado de ser necesarios o pertinentes para su finalidad, de conformidad con lo previsto en la legislación en materia de protección de datos y una vez hayan prescritos los plazos legales oportunos para su tratamiento.

SEGURIDAD, TRANSPARENCIA Y LICITUD DEL TRATAMIENTO

Euro-Funding es transparente respecto a los datos que recoge y/o trata y explicamos por qué los utilizamos y para qué finalidades. No tratamos los datos personales de una forma inesperada, oscura o abusiva. No recogemos datos personales de forma ilícita u opaca.

Euro-Funding adopta todas las medidas de seguridad de índole técnica y organizativa en consonancia a la naturaleza de los datos, para garantizar la seguridad de los datos de carácter personal, y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Si facilitas a Euro-Funding datos personales sobre terceros, debes informar al titular de los datos de este hecho, así como de lo prevenido en la presente Política de Privacidad.

Consideramos datos sensibles los datos relativos a la salud, sexualidad, genéticos, origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical y los datos biométricos dirigidos a identificar a un interesado.

Esta política de privacidad sólo es aplicable a la web www.euro-funding.com. Euro-Funding no garantiza la privacidad en los sitios de terceras empresas que enlazan a esta web o que sean enlazados desde esta.

Euro-Funding puede modificar en cualquier momento esta Política a fin de mantenerla adaptada a la legislación vigente sobre seguridad y protección de datos.

DERECHOS DE LOS INTERESADOS

La legislación de protección de datos garantiza a los Usuarios los siguientes derechos:

  • Acceso: Permite al Usuario conocer qué información se tiene, de dónde se ha obtenido, a quién se ha facilitado y con qué usos se ha tratado.
  • Rectificación: Permite al Usuario rectificar algún dato erróneo o desactualizado.
  • Supresión: Permite al Usuario conseguir que se dejen de tratar sus datos.
  • Oposición: Permite al Usuario conseguir que se dejen de utilizar sus datos con una finalidad concreta.
  • Limitación: Permite al Usuario restringir el tratamiento de sus datos, pero de forma que sean conservados para alguna finalidad posterior.
  • Portabilidad: Permite al Usuario obtener una copia de sus datos en formato electrónico y, en determinadas circunstancias, solicitar que sean comunicados a otro prestador de servicios. Sólo es aplicable para tratamientos informatizados realizados con el consentimiento del Usuario o para el cumplimiento de un contrato.

Se pueden ejercitar los derechos citados ante Euro-Funding, así como revocar los consentimientos que hubiera prestado, por correo postal a Plaza de la Independencia 8, planta 2, 28001 Madrid, España, o por correo electrónico a prodatos@euro-funding.com.

Si no atendemos su solicitud en tiempo y forma, puede reclamar ante la Agencia Española de Protección de Datos como autoridad de control (www.aepd.es).

TRATAMIENTO DE DATOS PERSONALES EN LA CONTRATACIÓN DE CONSULTORÍA

El presente punto regula el acceso del ENCARGADO DE TRATAMIENTO a los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO en una prestación de Servicios, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, “RGPD”).

A los efectos de este documento, el RESPONSABLE DEL TRATAMIENTO tiene la consideración de responsable del tratamiento y el ENCARGADO DE TRATAMIENTO tendrá la consideración de encargado del tratamiento conforme a lo establecido en los arts. 28 y 29 del RGPD.

El tratamiento de datos personales encargado al ENCARGADO DE TRATAMIENTO consiste en recoger, estructurar, conservar y consultar los datos personales responsabilidad del RESPONSABLE DEL TRATAMIENTO.

Para la ejecución de los servicios contratados, el ENCARGADO DE TRATAMIENTO puede tratar las siguientes tipologías de datos personales:

  • Datos identificativos y de contacto.
  • Detalles del empleo, datos profesionales.
  • Información comercial.
  • Económicos, financieros.
  • Otros que se especificarán en la Oferta.

6.1 Definiciones

Los términos específicos en materia de protección de datos, son interpretados conforme a lo establecido en el artículo 4 del RGPD.

6.2 Deber de secreto

El ENCARGADO DE TRATAMIENTO se compromete a guardar reserva y secreto sobre la información clasificada como confidencial facilitada por el RESPONSABLE DEL TRATAMIENTO con motivo de la prestación de servicios.

Se considera información confidencial cualquier información a la que el ENCARGADO DE TRATAMIENTO acceda en virtud del Servicio, en especial la información y datos personales responsabilidad del RESPONSABLE DEL TRATAMIENTO a los que haya accedido o acceda durante la ejecución de este.

No tienen carácter de confidencial aquellas informaciones o datos de dominio público que estén en posesión del ENCARGADO DE TRATAMIENTO con anterioridad a iniciar la prestación de los servicios y hayan sido obtenidas por medios lícitos de acuerdo con la legislación.

El ENCARGADO DE TRATAMIENTO es responsable de que su personal, colaboradores, directivos y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales responsabilidad del RESPONSABLE DEL TRATAMIENTO, respetan la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el ENCARGADO DE TRATAMIENTO. Por tanto, el ENCARGADO DE TRATAMIENTO realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de tales obligaciones.

El ENCARGADO DE TRATAMIENTO mantiene disposición del RESPONSABLE DEL TRATAMIENTO la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior.

6.3 Obligaciones del encargado del tratamiento

El ENCARGADO DE TRATAMIENTO, asume las siguientes obligaciones:

  • Acceder a los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO únicamente cuando sea imprescindible para el buen desarrollo de los servicios para los que ha sido contratado.
  • Tratar los datos conforme a las instrucciones que reciba del RESPONSABLE DEL TRATAMIENTO.
  • En caso de que el tratamiento incluya la recogida de datos personales en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, el ENCARGADO DE TRATAMIENTO debe seguir los procedimientos e instrucciones que reciba del RESPONSABLE DEL TRATAMIENTO, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento de los afectados.
  • Si el ENCARGADO DE TRATAMIENTO considera que alguna de las instrucciones del RESPONSABLE DEL TRATAMIENTO infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.
  • No destinar, aplicar o utilizar los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO con fin distinto del indicado en el presente contrato o de cualquier otra forma que suponga un incumplimiento de las instrucciones del RESPONSABLE DEL TRATAMIENTO.
  • Asumir la condición de responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del contrato, los comunique o los utilice incumpliendo las estipulaciones del contrato o las obligaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido personalmente.
  • No permitir el acceso a los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO a ningún empleado de su responsabilidad que no tenga la necesidad de conocerlos para la prestación de los servicios contratados.
  • No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del RESPONSABLE DEL TRATAMIENTO.
  • En caso de estar obligado a ello por el art. 30 del RGPD, el ENCARGADO DE TRATAMIENTO mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO, que contenga la información exigida por el art. 30.2 del RGPD.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
  • Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
  • Dar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las consultas previas a la Autoridad de Control, cuando proceda.
  • Poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el RESPONSABLE DEL TRATAMIENTO u otro auditor autorizado por este.
  • Adoptar y aplicar las medidas de seguridad estipuladas en el presente contrato, conforme lo previsto en el art. 32 del RGPD, que garanticen la seguridad de los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
  • En caso de estar obligado a ello por el art. 37.1 del RGPD, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al RESPONSABLE DEL TRATAMIENTO, así como cumplir con todo lo dispuesto en los arts. 37, 38 y 39 del RGPD.
  • Respetar todas las obligaciones que pudieran corresponderle como encargado del tratamiento con arreglo al RGPD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.
  • En caso de que el ENCARGADO DE TRATAMIENTO deba transferir o permitir acceso a datos personales responsabilidad del RESPONSABLE DEL TRATAMIENTO a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, ha de informar al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

6.4 Obligaciones del responsable del tratamiento

El RESPONSABLE DEL TRATAMIENTO manifiesta y hace constar, a los efectos legales oportunos que:

  1. En caso de que el tratamiento incluya la recogida de datos personales en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, ha de establecer los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento de los afectados, garantizando que estas instrucciones cumplen con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.
  2. En caso de que el tratamiento no incluya la recogida de datos personales en nombre y por cuenta del RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal a los que acceda el ENCARGADO DE TRATAMIENTO en virtud de la Oferta, han sido obtenidos y tratados cumpliendo con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.
  3. Cumple con todas sus obligaciones en materia de protección de datos como responsable del tratamiento y es consciente de que los términos del presente Contrato en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al RESPONSABLE DEL TRATAMIENTO como responsable del tratamiento.
  4. Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por parte del ENCARGADO DE TRATAMIENTO.

6.5 Medidas de seguridad y violación de la seguridad

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el ENCARGADO DE TRATAMIENTO puede aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  1. La seudonimización y el cifrado de datos personales.
  2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  3. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  4. Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información que desarrolle los siguientes dominios de seguridad de la información en la medida en que sean aplicables:
  5. Políticas de seguridad de la información
  6. Organización de la seguridad de la información
  7. Seguridad relativa a recursos humanos
  8. Gestión de activos
  9. Control de acceso
  10. Criptografía
  11. Seguridad física y del entorno
  12. Seguridad de las operaciones
  13. Seguridad de las comunicaciones
  14. Adquisición, desarrollo y mantenimiento de los sistemas de información
  15. Relación con proveedores
  16. Gestión de incidentes de seguridad de la información
  17. Aspectos de seguridad de la información para la gestión de la continuidad de negocio
  18. Cumplimiento normativo

Al evaluar la adecuación del nivel de seguridad, el ENCARGADO DE TRATAMIENTO tiene en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

El ENCARGADO DE TRATAMIENTO permite y contribuye a la realización de auditorías, incluidas inspecciones, por parte de RESPONSABLE DEL TRATAMIENTO o de otro auditor autorizado por el mismo.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del presente Contrato, el ENCARGADO DE TRATAMIENTO garantiza la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos del presente Contrato.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por el ENCARGADO DE TRATAMIENTO para la prestación de los servicios objeto del presente Contrato, el ENCARGADO DE TRATAMIENTO debe notificar a RESPONSABLE DEL TRATAMIENTO, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el art. 33.3 del RGPD.

En tal caso, corresponde al RESPONSABLE DEL TRATAMIENTO comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente.

6.6 Destino de los datos al finalizar la relación contractual

Una vez cumplida o resuelta la relación contractual acordada entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DE TRATAMIENTO, éste ha de solicitar al RESPONSABLE DEL TRATAMIENTO instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir este último entre su devolución, remisión a otro prestador de servicios o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no pueden destruirse.

El ENCARGADO DE TRATAMIENTO puede conservar, debidamente bloqueados, los datos de carácter personal responsabilidad del RESPONSABLE DEL TRATAMIENTO, en tanto pudieran derivarse responsabilidades de su relación con el RESPONSABLE DEL TRATAMIENTO.

6.7 Ejercicio de derechos ante el encargado de tratamiento

El ENCARGADO DE TRATAMIENTO debe dar traslado al RESPONSABLE DEL TRATAMIENTO de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un afectado cuyos datos hayan sido tratados por el ENCARGADO DE TRATAMIENTO con motivo del cumplimiento del objeto del presente contrato, a fin de que por el mismo se resuelva en los plazos establecidos por la ley vigente.

El traslado de la solicitud al RESPONSABLE DEL TRATAMIENTO debe hacerse con la mayor celeridad posible y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

Asimismo, el ENCARGADO DE TRATAMIENTO debe tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciba a través del RESPONSABLE DEL TRATAMIENTO, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos (2) días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud como la ejecución de la tarea encomendada.

6.8 Deber de información recíproco

Las Partes informan a los representantes de que sus datos de carácter personal son incluidos en sendos ficheros responsabilidad de cada una de las partes, cuya finalidad es el mantenimiento de las relaciones contractuales de las mismas, siendo imprescindible para ello que se aporten sus datos identificativos, la capacidad de representación que ostentan, número de DNI o documento equivalente y su firma.

Asimismo, las Partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento de la relación contractual.

La base jurídica que legitima el tratamiento de los datos de los interesados es la necesidad para la celebración y ejecución del servicio.

Los datos son conservados durante la vigencia del presente Contrato y, posteriormente, durante 15 años con la finalidad de atender a las posibles responsabilidades derivadas de la relación.

Los afectados pueden ejercer sus derechos de acceso, rectificación, cancelación/supresión, oposición, limitación y portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social que consta al comienzo del presente documento, aportando fotocopia de su DNI o documento equivalente e identificando el derecho que se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, pueden interponer una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

6.9 Subcontratación

El ENCARGADO DE TRATAMIENTO no puede subcontratar ninguna de las prestaciones que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios incluyendo la participación del resto de entidades EURO-FUNDING. No obstante, el RESPONSABLE DEL TRATAMIENTO autoriza la subcontratación a todas las siguientes entidades:

  • EURO-FUNDING ADVISORY GROUP, S.L.
  • EURO-FUNDING LOCAL & INDIRECT TAXES, S.L.
  • EURO-FUNDING ENVIRONMENTAL, S.L.
  • EURO-FUNDING INTERNATIONAL, S.L.
  • EURO-FUNDING EU PROJECTS, S.L.
  • EURO-FUNDING COST SOLUTIONS, S.L.
  • EURO-FUNDING MULTILATERAL PROJECTS, S.L.

Sin perjuicio de lo anterior, en caso de que el ENCARGADO DE TRATAMIENTO necesite subcontratar todo o parte de los servicios por el RESPONSABLE DEL TRATAMIENTO en los que intervenga el tratamiento de datos personales, debe comunicarlo previamente y por escrito al RESPONSABLE DEL TRATAMIENTO, con una antelación de un mes, indicando los tratamientos que pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación puede llevarse a cabo si el RESPONSABLE DEL TRATAMIENTO no manifiesta su oposición en el plazo establecido.

El subencargado, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO DE TRATAMIENTO y las instrucciones que dicte el RESPONSABLE DEL TRATAMIENTO.

Corresponde al ENCARGADO DE TRATAMIENTO exigir por contrato al subencargado el cumplimiento de las mismas obligaciones asumidas por él a través del presente documento.

El ENCARGADO DE TRATAMIENTO sigue siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de las obligaciones.

El ENCARGADO DE TRATAMIENTO debe informar al RESPONSABLE DEL TRATAMIENTO de cualquier cambio en la incorporación o sustitución de otros subencargados con una antelación de un mes, dando así al RESPONSABLE DEL TRATAMIENTO la oportunidad de oponerse a dichos cambios.