WINTERMAN se compromete a que toda la información relacionada con el proyecto de referencia sea estrictamente confidencial. A tal efecto suscribe el presente Acuerdo de Confidencialidad y de No Divulgación de Información en base a las siguientes ESTIPULACIONES:

PRIMERA. Objeto. El presente Acuerdo se refiere a la información que el CLIENTE proporcione a WINTERMAN, ya sea de forma oral, gráfica o escrita para el inicio del proyecto que se describe en el presente documento.

SEGUNDA. WINTERMAN únicamente utilizará la información facilitada por el Cliente para el fin mencionado en la Estipulación anterior, comprometiéndose a mantener la más estricta confidencialidad respecto de la misma, advirtiendo de dicho deber de confidencialidad y secreto a sus empleados, asociados y a cualquier persona que, por su relación con la ella, deba tener acceso a dicha información para el correcto desarrollo del proyecto.
WINTERMAN o las personas mencionadas en el párrafo anterior no podrán reproducir, modificar, hacer pública o divulgar a terceros la información objeto del proyecto encomendado salvo previa autorización escrita y expresa del CLIENTE.
De igual forma, WINTERMAN adoptará respecto de la información objeto de este Acuerdo las mismas medidas de seguridad que adoptaría normalmente respecto a la información confidencial de su propia Empresa, evitando en la medida de lo posible su pérdida, robo o sustracción.

TERCERA. Sin perjuicio de lo estipulado en el presente Acuerdo, ambas partes aceptan que la obligación de confidencialidad no se aplicará en los siguientes casos:
a) Cuando la información se encontrara en el dominio público en el momento de su suministro a WINTERMAN o, una vez suministrada la información, ésta acceda al dominio público sin infracción de ninguna de las Estipulaciones del presente Acuerdo.
b) Cuando la legislación vigente o un mandato judicial exija su divulgación. En ese caso, la empresa notificará al CLIENTE tal eventualidad y hará todo lo posible por garantizar que se dé un tratamiento confidencial a la información.

CUARTA. WINTERMAN se obliga a devolver cualquier documentación o antecedentes facilitados en cualquier tipo de soporte y, en su caso, las copias obtenidas de los mismos, que constituyan información amparada por el deber de confidencialidad objeto del presente Acuerdo una vez finalizado el proyecto encomendado por el CLIENTE.

QUINTA. El presente Acuerdo entrará en vigor en el momento de la firma de la hoja de encargo, extendiéndose su vigencia de manera indefinida tras la finalización del servicio salvo en las excepciones previstas en la sección TERCERA del presente documento.

SEXTA. De conformidad con el REGLAMENTO (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo relativo a la Protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos, el CLIENTE es informado de que sus datos personales, incluidos los datos de contacto que nos facilita de sus directivos, empleados y personal en general, pasarán a formar parte de un fichero propiedad de la EMPRESA, cuya finalidad es la prestación del servicio contratado y la atención de obligaciones legales y tributarias derivadas del mismo. Podrá ejercitar los derechos de acceso, rectificación, limitación, supresión, portabilidad y oposición, en la sede del DESPACHO indicada al comienzo.
Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.winterman.com/index.php/nota-legal

SÉPTIMA. Para la ejecución del presente contrato el CLIENTE facilita a la EMPRESA datos de carácter personal de persona o personas relacionadas con el objeto del encargo. La aportación de tales datos se realiza al amparo del artículo 28 REGLAMENTO (UE) 2016/679, de 27 de abril de 2016 y se regulará conforme a lo dispuesto en el ANEXO I del presente contrato, en el citado Reglamento y en su normativa de desarrollo.

OCTAVA. LA EMPRESA se compromete a adoptar las medidas de custodia adecuadas a la naturaleza de los datos comunicados por el CLIENTE; a tratar los datos con el exclusivo fin de prestar el servicio solicitado por el CLIENTE y conforme a sus instrucciones, a no ceder a terceros dichos datos y a destruir los datos una vez estos no sean necesarios, con la única excepción de aquellos cuya conservación sea requerida para el cumplimiento de obligaciones legales. No se considerará cesión, a los efectos del presente contrato, la comunicación realizada a terceros cuando esta comunicación sea necesaria para la ejecución del encargo encomendado. Estas comunicaciones incluyen las realizadas a registros mercantiles y de la propiedad, bases de datos públicas y privadas, repertorios telefónicos, boletines oficiales y demás fuentes de información, así como los comunicados a profesionales con las cuales LA EMPRESA mantenga acuerdos de colaboración, siempre que los datos comunicados sean los estrictamente necesarios para la ejecución del servicio.

NOVENA. El CLIENTE se compromete a utilizar los datos comunicados por LA EMPRESA conforme a la finalidad prevista en el presente contrato y a adoptar las medidas de custodia adecuadas a la naturaleza de los datos comunicados.

DÉCIMA. Las obligaciones de confidencialidad y custodia se extenderán con carácter indefinido, independientemente de la vigencia del presente contrato.

ANEXO I
CONDICIONES RELATIVAS A LA PROTECCIÓN DE DATOS PERSONALES
De conformidad con el artículo 28 del REGLAMENTO (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo relativo a la Protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos, ambas partes aceptan expresamente y de acuerdo a las siguientes cláusulas:

I. Objeto del encargo

Mediante las presentes cláusulas se habilita a WINTERMAN, como encargado del tratamiento, para tratar por cuenta de EL CLIENTE como responsable del tratamiento, los datos de carácter personal necesarios para prestar los servicios y compromisos detallados en el presente contrato.

II. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, EL CLIENTE como responsable del tratamiento, pone a disposición de WINTERMAN como encargado del tratamiento, los datos identificativos de los investigados y la información disponible sobre los mismos para la elaboración de los encargos contratados. En consecuencia, WINTERMAN tendrá que cumplir con las obligaciones establecidas en el apartado IV, mientras dure la prestación del servicio.

III. Duración

El plazo de vigencia del presente contrato se establece en virtud del acuerdo mercantil que se ha formalizado entre ambas partes.

IV. Obligaciones del encargado del tratamiento.
El encargado del tratamiento, y todo su personal se obliga a:

a) Utilizar los datos personales objeto del tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos de acuerdo a las instrucciones del responsable del tratamiento.
Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembro, el encargado informará inmediatamente al responsable.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de cada responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, de las transferencias indicadas en el artículo 49, párrafo segundo del RGPD, la documentación de garantías adecuadas.
4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
i. La seudonimización y el cifrado de datos personales.
ii. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) No comunicar datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
El encargado puede comunicar datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembro que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que el Derecho lo prohíba por razones importantes de interés público.
e) No se autoriza al encargado para subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 15 días, indicando los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
f) Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
g) Garantizar que las personas autorizadas para tratar datos personales se comprometen de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
h) Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1. Acceso, rectificación, supresión y oposición.
2. Limitación del tratamiento.
3. Portabilidad de los datos.
4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles), excepto en los supuestos amparados por la normativa vigente en materia de Protección de Datos.
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección lopd@winterman.com, o la cuenta de corriente habilitada por el responsable del tratamiento a tal efecto. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
k) Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.
l) Notificación de violaciones de la seguridad de los datos:
El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y, en cualquier caso, antes del plazo máximo de 48 horas las violaciones de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Esta comunicación se realizará de la siguiente forma:
No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. El nombre y datos de contacto del delegado de protección de datos o del otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Corresponde al encargado del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.
La comunicación contendrá, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
2. Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
o) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
p) Implantar las medidas de seguridad siguientes:
En todo caso, deberá implantar mecanismos para:
1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
4. Seudonimizar y cifrar los datos personales, en su caso.
q) En los casos que sea obligatorio designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.
r) Destino de los datos una vez finalice la prestación de los servicios:
Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

V. Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:
a) Entregar al encargado los datos a los que se refiere la cláusula II de este documento.
b) Realizar las consultas previas que corresponda.
c) Velar, de forma previa y durante el tratamiento, por el cumplimiento del RGPD por parte del encargado.
d) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Rescisión, resolución y extinción: la rescisión, resolución o extinción de la relación contractual de prestación de servicios entre el Responsable de Tratamiento y el Encargado de Tratamiento, obligará a este último a conservar los datos de carácter personal facilitados por el primero, siempre que exista la obligación legal de conservación.
Una vez transcurrido el plazo establecido para cubrir las responsabilidades legales, los datos de carácter personal deberán ser destruidos o devueltos al Responsable de Tratamiento, al igual que cualquier soporte o documento en que conste algún dato de carácter personal.