Agencia Estatal Boletín Oficial del Estado
Con fecha 16 de marzo de 2022 se ha suscrito el Convenio entre el Ministerio de Inclusión, Seguridad Social y Migraciones y Banco Santander, SA para el alojamiento y manutención temporal de menores ucranianos con cáncer y sus familiares directos que sean víctimas de la invasión rusa a Ucrania y, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado Convenio, que figura como anexo de esta Resolución.
Madrid, 17 de marzo de 2022.–La Subsecretaria de Inclusión, Seguridad Social y Migraciones, Verónica Ollé Sesé.
En Madrid, a 16 de marzo de 2022.
De una parte, doña Miriam Benterrak Ayensa, en su condición de Directora General de Programas de Protección Internacional y Atención Humanitaria del Ministerio de Inclusión, Seguridad Social y Migraciones («MISSM»), en virtud de nombramiento efectuado por Real Decreto 104/2022, de 1 de febrero, y actuando según las competencias previstas en el Real Decreto 497/2020, de 28 de abril, por el que se desarrolla la estructura orgánica básica del MISSM.
De otra parte, don Matías Francisco Sánchez García, en su condición de apoderado de Banco Santander, SA («Banco Santander»), como resulta de escritura notarial número 2021/1823 inscrita con fecha 5 de julio de 2021 en el tomo 1242, folio 136, inscripción 4324 con hoja S-1960.
Ambas partes, en las representaciones que ostentan, se reconocen capacidad y legitimidad suficiente para suscribir el presente Convenio, y a tal fin,
EXPONEN
Que la invasión rusa de Ucrania ha provocado, entre otras consecuencias, una extraordinaria crisis humanitaria y un éxodo masivo de personas residentes en Ucrania.
Que, mediante la Decisión de Ejecución (UE) 2022/382 del Consejo, de 4 de marzo de 2002 («Decisión de Ejecución 2022/382»), el Consejo de la Unión Europea constató formalmente la existencia de una afluencia masiva de personas desplazadas procedentes de Ucrania, en el sentido del artículo 5 de la Directiva 2001/55/CE, del Consejo, de 20 de julio de 2001, relativa a las normas mínimas para la concesión de protección temporal en caso de afluencia masiva de personas desplazadas y a medidas de fomento de un esfuerzo equitativo entre los Estados miembros para acoger a dichas personas y asumir las consecuencias de su acogida («Directiva 2001/55»).
Que la Decisión de Ejecución 2022/382 activó el mecanismo de protección temporal previsto en la Directiva 2001/55 para las categorías de personas incluidas en aquella, con arreglo al cual, los Estados miembros de la Unión Europea se comprometen a garantizar determinadas prestaciones de asistencia a las personas desplazadas. El Consejo de Ministros, mediante Acuerdo de 8 de marzo de 2022, ha ampliado el ámbito subjetivo de los beneficiarios de la protección temporal derivada de la invasión a Ucrania.
Que, dentro de las prestaciones que los Estados miembros deben garantizar a las personas desplazadas por la invasión de Ucrania, conforme a la Decisión de Ejecución 2022/382, el artículo 13 de la Directiva 2011/55 reconoce el derecho de los beneficiarios de esta protección temporal a un alojamiento adecuado, o a recibir los medios para obtenerlo, así como el derecho a recibir alimentos, cuando no dispongan de recursos suficientes.
Que el MISSM es el órgano competente para coordinar o garantizar el cumplimiento a las obligaciones que de la Decisión de Ejecución 2022/382 se derivan para España.
Que Banco Santander es una entidad de crédito que, en el marco de su política de responsabilidad social corporativa, quiere sumarse al esfuerzo colectivo, público o privado, para hacer frente a la tragedia humanitaria derivada de la invasión rusa en Ucrania.
Que Banco Santander es titular de unas instalaciones de alojamiento y restauración, ubicadas en el edificio Residencia, de la Ciudad Grupo Santander, en Boadilla del Monte (Madrid).
Que, dentro del marco de acciones que Banco Santander está desarrollando para colaborar ante esta situación extraordinaria, quiere ofrecer desinteresadamente al MISSM el servicio de alojamiento y restauración para los menores ucranianos con cáncer, sus progenitores (o, en su defecto, las personas a su cargo) y hermanos, durante un período de un mes y medio.
Que, por ello, ambas partes acuerdan suscribir el presente Convenio, que se regirá por las siguientes
CLÁUSULAS
Este Convenio tiene por objeto regular las condiciones mediante las que Banco Santander va a ofrecer temporalmente, y de manera gratuita, el servicio de alojamiento y restauración a un colectivo de menores ucranianos con cáncer y otros familiares o personas relacionadas, en las instalaciones del edificio Residencia, situado en la Ciudad Grupo Santander, en Boadilla del Monte (Madrid), con la finalidad de ayudar al MISSM a dar cumplimiento a sus obligaciones en materia de alojamiento y alimentos a las personas desplazadas por la invasión de Ucrania, conforme a la Decisión de Ejecución 2022/382, ampliada en su ámbito subjetivo por el Acuerdo del Consejo de Ministros de 8 de marzo de 2022.
El edificio Residencia se halla ubicado en la avenida Cantabria, s/n, de la Ciudad Grupo Santander, en Boadilla del Monte, (CP 28660) Madrid.
El servicio de alojamiento y restauración se ofrecerá para menores residentes en Ucrania, que padezcan cáncer, que vendrán siempre acompañados por su progenitor o progenitores (excepcionalmente, en su defecto, las personas a cargo del menor que padece la enfermedad) y, en su caso, hermanos, siempre que tales personas resulten beneficiarias del mecanismo de protección temporal derivado de la Decisión de Ejecución 2022/382.
Las instalaciones del edificio Residencia pueden acoger a un máximo de 188 personas, comprendiendo a los menores de edad y a sus acompañantes familiares, definidos en la cláusula segunda de este Convenio.
El MISSM identificará a los menores beneficiarios de este servicio y a sus acompañantes, y comunicará sus nombres a la persona de contacto identificada en nombre de Banco Santander. El MISSM facilitará a Banco Santander la documentación de los beneficiarios de este Convenio que sea necesaria para el cumplimiento de las obligaciones formales que correspondan a Banco Santander, y en particular, los datos del NIE que se les haya asignado. Del mismo modo, comunicará cualquier modificación del listado de personas acogidas a este servicio.
El servicio de alojamiento se prestará mediante la puesta a disposición de 148 habitaciones sencillas y 20 dobles, cuya distribución será acordada por el MISSM. Las habitaciones dispondrán de TV y servicio de lavandería.
El servicio de restauración incluirá desayuno, comida, merienda y cena, dentro de los horarios programados por Banco Santander, que tendrá en cuenta la existencia de días laborales y no laborales, y los horarios para la asistencia médica, educativa o para la prestación de servicios laborales de los beneficiarios de este Convenio.
El MISSM informará a Banco Santander de cualquier alergia, intolerancia alimentaria o dieta específica de los beneficiarios de este Convenio.
El servicio se prestará por cuenta del Ministerio de Inclusión, Seguridad Social y Migraciones, de manera gratuita, sin que Banco Santander perciba ninguna contraprestación por ello, ni el MISSM tenga que realizar ninguna contribución económica al Banco Santander.
Este Convenio producirá efectos desde el día 16 de marzo de 2022, previa inscripción en el Registro electrónico estatal de órganos e instrumentos de cooperación del sector público estatal (REOICO), y tendrá una duración de un mes y medio, que terminará, por tanto, el día 1 de mayo de 2022.
Banco Santander y el MISSM definirán unas normas de conducta para la convivencia de los beneficiarios de esta protección, así como de las personas que sean autorizadas por el MISSM para dar cumplimiento a otros servicios de asistencia, en las instalaciones de la Ciudad Grupo Santander. Tales normas serán de obligado cumplimiento. Banco Santander pondrá en conocimiento del MISSM los eventuales incumplimientos de las normas de conducta que puedan producirse por los beneficiarios de esta protección, con el objeto de que por parte de aquel se realicen las comunicaciones oportunas a los responsables para conseguir el cumplimiento de las citadas normas y, de no ser posible, la sustitución de aquellos por otros beneficiarios.
La Ciudad Grupo Santander, donde se halla el edificio Residencia, no resulta de acceso libre, ya que existen medidas de registro, identificación y control, por razones de seguridad. Por ese motivo, cualquier persona que deba acceder dentro de la Ciudad Grupo Santander al amparo de este Convenio, ya sea beneficiario de la protección temporal, autoridad o funcionario público, del MISSM o de cualquier otra entidad pública, o un tercero habilitado por el MISSM, deberá identificarse previamente en las cabinas de seguridad del acceso B de la Ciudad Grupo Santander y, en el caso de las personas mayores de edad, llevar consigo, en todo momento, la tarjeta de identificación facilitada por Banco Santander.
Banco Santander no permitirá el acceso a ninguna persona, al amparo de este Convenio, cuyos datos no hayan sido comunicados previamente por parte del MISSM, salvo que existan motivos de urgencia.
El MISSM será responsable de cualesquiera medidas de asistencia (entre otras, servicios de atención médica –incluyendo enfermería– y psicológica, servicio de traductores y servicio de mediación con los refugiados) que necesiten los beneficiarios de este Convenio y que no hayan sido asumidas por Banco Santander de modo expreso. En cualquier caso, estas medidas de asistencia, cuando no se desarrollen en el edificio Residencia, exigirán la organización, ajena a Banco Santander, de un sistema de transporte que garantice el desplazamiento ordenado de estas personas desde o hasta el edificio Residencia.
El MISSM podrá autorizar a una entidad no gubernamental para que asuma el ejercicio de tales medidas de asistencia. En ese caso, deberá comunicar esta circunstancia y el listado de personas que tendrán acceso a la Ciudad Grupo Santander, a los efectos de las medidas de identificación y control expuestas en la cláusula anterior. Esta autorización requerirá la previa aceptación por la entidad no gubernamental del alcance y condiciones de este convenio.
Cualquier persona que acceda a la Ciudad Grupo Santander para la prestación de servicios asistenciales a las personas beneficiarias de este Convenio deberá cumplir con las normas establecidas por Banco Santander en materia de salud pública para los visitantes.
Será responsabilidad del MISSM garantizar el cumplimiento de las medidas de vacunación que resulten exigibles a los beneficiarios del Convenio o a las personas que les presten servicios de asistencia.
En cualquier caso, el MISSM designará una o varias personas con disponibilidad inmediata (del MISSM o de la entidad no gubernamental que designe), en cualquier momento, para atender cualquier incidencia asistencial del colectivo beneficiario de este Convenio.
El MISSM será responsable del tratamiento de los datos personales de los beneficiarios del Convenio y de las personas que tengan acceso a la Ciudad Grupo Santander por indicación del MISSM, que comunicará al Banco Santander, asumiendo el cumplimiento de las obligaciones impuestas por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Banco Santander tratará los datos personales comunicados por el MISSM como encargado del tratamiento exclusivamente para la prestación de servicios previstos en este Convenio, con sujeción al acuerdo de encargo de tratamiento que se adjunta como anexo.
El MISSM autoriza expresamente a Banco Santander a difundir la existencia de este Convenio y los servicios que constituyen su objeto.
El presente Convenio tiene naturaleza administrativa, y queda excluido de la Ley de Contratos del Sector Público, rigiéndose por los artículos 47 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Para la aplicación de este Convenio se constituirá una comisión de seguimiento integrada por tres personas, siendo una designada por el MSSIM, otra por Banco Santander, y la tercera, de común acuerdo entre ambas.
La comisión estará presidida por el representante del MISSM.
La finalidad de la comisión de seguimiento es asegurar la adecuada interpretación y aplicación de este Convenio, de manera amistosa, entre las partes, aunque no tendrá eficacia vinculante para las partes.
Las cuestiones litigiosas que pudieran derivar de la interpretación o aplicación de este Convenio serán sometidas al orden jurisdiccional contencioso-administrativo.
El presente Convenio se perfeccionará por la prestación del consentimiento de las partes firmantes y resultará eficaz una vez inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal (REOICO), en la fecha prevista en la cláusula séptima. Además será publicado también en el «Boletín Oficial del Estado».
El presente Convenio se extinguirá de acuerdo con lo dispuesto por el artículo 51 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, por el cumplimiento de las actuaciones que constituyen su objeto, o por incurrir en causa de resolución.
Son causas de resolución:
a) El transcurso del plazo de vigencia del Convenio sin haberse acordado la prórroga del mismo.
b) El acuerdo unánime de todos los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del Convenio y a las demás partes firmantes.
Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. La resolución del Convenio por esta causa podrá conllevar la indemnización de los perjuicios causados si así se hubiera previsto.
d) Por decisión judicial declaratoria de la nulidad del Convenio.
Toda modificación de las cláusulas de este Convenio requerirá el acuerdo expreso y por escrito de ambas partes, y surtirá efectos a partir del primer día del mes siguiente en que se inscriba dicha adenda modificativa en REOICO, sin perjuicio de su posterior publicación en el BOE.
El MSSIM identifica como persona de contacto, a los efectos de cualquier interacción necesaria para el cumplimiento de este Convenio a doña Miriam Benterrak Ayensa. Banco Santander, identifica, por su parte, a doña Belén Sánchez Miguel.
Ambas partes se comprometen a facilitar a la otra parte, a la mayor brevedad, el correo electrónico y el número de móvil de su persona de contacto. Cualquier modificación de la persona de contacto o de sus datos será inmediatamente comunicada, a través de las personas de contacto designadas.
Las comunicaciones que deban realizarse en el día a día de este Convenio se instrumentarán por las partes a través de las personas de contacto.
Y en prueba de conformidad, ambas partes firman el presente Convenio por duplicado ejemplar, en el lugar y fecha indicados en el encabezamiento.–Por el Ministerio de Inclusión, Seguridad Social y Migraciones, la Directora General de Programas de Protección Internacional y Atención Humanitaria, Miriam Benterrak Ayensa.–Por Banco de Santander, SA, el Apoderado del Banco Santander, Matías Francisco Sánchez García.
En Madrid, a 16 de marzo de 2022.
REUNIDOS
De una parte, don Jaime Cruz Rojo, en su condición de Delegado de Protección de Datos del Ministerio de Inclusión, Seguridad Social y Migraciones, en adelante, el «Responsable».
De otra parte, don Rubén Cabezas Vázquez, en su condición de Director de la Oficina de Privacidad de Banco Santander, SA, en adelante, el «Encargado».
Ambas partes, en las representaciones que ostentan, se reconocen capacidad y legitimidad suficiente para suscribir el presente anexo al Convenio para el alojamiento y manutención temporal de menores ucranianos con cáncer y sus familiares directos–contrato de encargo del tratamiento, y a tal fin
EXPONEN
I. Que las Partes han suscrito un Convenio para el alojamiento y manutención temporal de menores ucranianos con cáncer y sus familiares directos que sean víctimas de la invasión rusa a Ucrania con los servicios descrito en el apéndice I (de ahora en adelante el «Convenio»).
II. Que para la prestación de dichos servicios es necesario que el Encargado realice una serie de tratamientos de datos identificados en el apéndice I por cuenta del Responsable.
III. Que, por esta razón y en cumplimiento del artículo 28 del Reglamento 2016/679 (en adelante, «RGPD»), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, ambas partes, de su libre y espontánea voluntad, acuerdan regular este acceso y tratamiento de datos de carácter personal de conformidad con las siguientes
CLÁUSULAS
El presente contrato tiene por objeto regular las condiciones del tratamiento señalado en el Expositivo I anterior por parte del Encargado. A los efectos oportunos, en el apéndice I se hace constar el objeto, duración, naturaleza y finalidad del tratamiento, así como el tipo, categorías de datos y operaciones de tratamientos a realizar.
2.1 El Encargado tratará los datos personales facilitados por el Responsable única y exclusivamente siguiendo las instrucciones que el Responsable le facilite. La sujeción a las instrucciones del Responsable deberá producirse igualmente en el caso de las transferencias internacionales de datos que puedan producirse como consecuencia de la prestación del servicio, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado. En tal caso, el Encargado informará al Responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
2.2 Si el Encargado considerase que alguna de las instrucciones facilitadas infringe la normativa de protección de datos, el Encargado informará al Responsable de dicha circunstancia.
2.3 En el caso de que el Encargado se extralimite de los servicios previstos, será considerado responsable a los efectos de la normativa de protección de datos.
2.4 El Encargado ayudará, en la medida de lo posible y cuando así se lo solicite expresamente el Responsable, a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta tanto la naturaleza del tratamiento como la información a disposición del Encargado.
3.1 El Encargado se compromete a que todo el personal que vaya a tratar los datos objeto del presente contrato sea conocedor de la obligación de confidencialidad. Los datos se tratarán únicamente por el personal cualificado y al único fin de efectuar el alcance contratado.
3.2 El Encargado tomará las medidas adecuadas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales tenga las competencias, formación e indicaciones necesarias para realizar los tratamientos bajo las instrucciones facilitadas por el Responsable al Encargado.
4.1 A los efectos de dar cumplimiento a lo dispuesto en el artículo 32 del RGPD, el Encargado aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, todo ello teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. A los efectos oportunos se relacionan en el apéndice I las medidas a adoptar por el Encargado.
4.2 En cualquier caso, el Encargado se compromete y obliga a adoptar un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En el caso de que sea aplicable el artículo 28.3.f) del RGPD, el Encargado ayudará al Responsable a la realización, en caso de que se lo solicitase el Responsable, de las evaluaciones de impacto y consulta previa establecidas en la normativa, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado.
6.1 El Encargado notificará al Responsable las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. El Encargado notificara, la información que contempla el artículo 33.3 del RGPD. Si no es posible facilitar la información simultáneamente, el Encargado se compromete a facilitarla de manera gradual a medida la vaya teniendo disponible.
6.2 Producido el incidente de seguridad, el Encargado llevará a cabo las acciones necesarias para investigar, mitigar y remediar el incidente, debiendo informar al Responsable en caso de así solicitarse.
7.1 En función de lo indicado en el apéndice I, el Encargado suprimirá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes, salvo que de acuerdo con alguna norma legal estipule la necesidad de conservarlos.
7.2 No obstante, lo dispuesto en el apartado anterior, el Encargado podrá conservar los datos debidamente bloqueados mientras puedan derivarse cualquier tipo de responsabilidad de los servicios prestados.
El Encargado podrá contar con otro encargado de tratamiento para la realización de los tratamientos objeto de este contrato, notificándose al Responsable en caso de así requerirlo.
No obstante lo anterior, en el caso que el Encargado subcontrate los servicios o parte de los mismos, suscribirá con el nuevo encargado un contrato en el que se impondrán a este ultimo las mismas obligaciones de protección de datos que las estipuladas en este Contrato para el Encargado y, en particular, la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones de la normativa en materia de protección de datos.
9.1 El Responsable manifiesta que todos los datos de carácter personal a tratar por el Encargado han sido o serán obtenidos legalmente de los interesados. En ese sentido, será de cuenta del Responsable el estricto cumplimiento de las obligaciones de licitud del tratamiento recogidas en la normativa y en particular de facilitar el derecho de información a los interesados en el momento de la recogida de los datos o en un momento posterior (si los datos no han sido obtenidos de los afectados).
9.2 El Encargado manifiesta expresamente que reúne las garantías suficientes a los efectos del cumplimiento de la normativa de protección de datos y en particular en lo que a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del RGPD.
9.3 El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Contrato.
9.4 Las comunicaciones derivadas de este acuerdo se realizarán a las direcciones y/o personas indicadas en el apéndice I.
10.1 El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el RGPD.
10.2 A los efectos de lo indicado en el apartado anterior, las Partes acuerdan que cuando las personas afectadas ejerzan ante el Encargado los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, el Encargado debe comunicarlo al Responsable. La comunicación debe hacerse sin dilación, así como facilitar, en su caso, otras informaciones que puedan ser relevantes para resolver la solicitud.
11.1 La presente política de privacidad se aplica a la recogida de datos por cada una de las partes respecto al tratamiento de los datos de las personas físicas que intervienen en el mismo. A los efectos aclaratorios se hace constar que en ningún caso el tratamiento de los datos es conjunto, siendo cada una de las partes responsable del cumplimiento de sus obligaciones de protección de datos que en su caso le competan.
11.2 La finalidad de los tratamientos es la de control y ejecución del Convenio sobre la base legal de cumplimiento del acuerdo y/o del interés legítimo. Los datos serán tratados mientras se mantenga en vigor el presente Convenio y, una vez finalizado este, se conservarán hasta la finalización de cualesquiera plazos derivados del cumplimiento de obligaciones legales inclusive de cualesquiera plazos de prescripción.
11.3 Los datos no serán cedidos a ningún tercero salvo que dicha comunicación fuera necesaria para dar cumplimiento a una obligación legal o, en su caso, para la ejecución del presente Convenio.
11.4 Finalmente, las personas físicas pueden ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de sus datos mediante solicitud dirigida por escrito al responsable del tratamiento que corresponda. En caso de que el titular del dato quiera interponer una reclamación lo puede hacer ante la Agencia Española de Protección de Datos en www.aepd.es.
Para la resolución de cualquier discrepancia resultante de la interpretación o ejecución del presente contrato, las partes se someten a lo expresamente previsto en el Convenio.
Y en prueba de conformidad, ambas Partes firman el presente Contrato por duplicado, en el lugar y fecha arriba indicados.–Responsable del Tratamiento: Por el Ministerio de Inclusión, Seguridad Social y Migraciones, el Delegado de Protección de Datos, Jaime Cruz Rojo.–Encargado del Tratamiento: Por Banco de Santander, SA, el Delegado de Protección de Datos, Rubén Cabeza Vázquez.
1. Información sobre el Tratamiento.
Lista de partes:
Responsable del tratamiento:
Nombre: Ministerio de Inclusión, Seguridad Social y Migraciones.
Dirección: [*].
Nombre, cargo y datos de contacto de la persona de contacto: Don Jaime Cruz Rojo, Delegado de Protección de Datos.
Firma y fecha: 16 de marzo de 2022.
Encargado del tratamiento:
Nombre: Banco Santander, SA.
Dirección: Paseo de Pereda, 9-12.
Nombre, cargo y datos de contacto de la persona de contacto: Don Rubén Cabeza Vázquez, Delegado de Protección de Datos, calle Juan Ignacio Luca de Tena, 11-13; privacidad@gruposantander.es.
Firma y fecha: 16 de marzo de 2022.
Objeto, duración, y naturaleza del tratamiento: de acuerdo con lo dispuesto en el Convenio.
Finalidad del tratamiento: el tratamiento tiene por objeto el cumplimiento de los servicios encomendados, en concreto:
– El servicio de alojamiento y restauración a un colectivo de menores ucranianos con cáncer y otros familiares o personas relacionadas en las instalaciones del edificio Residencia, en la Ciudad Grupo Santander.
– Los servicios de restauración pueden conllevar el tratamiento de datos relativos a alergias alimenticias. Estos datos serán tratados por el Encargado con el exclusivo fin de dicho tratamiento.
– Cualquier otra actividad relacionada con el servicio anterior.
Descripción general de tratamiento:
| Al finalizar el tratamiento | |||
|---|---|---|---|
| Devolver los datos. | X | Destruir. | |
| Tipos de datos | |||||
|---|---|---|---|---|---|
| X | Identificativos. | X | Características personales. | X | Circunstancias sociales. |
| X | Académicos y profesionales. | X | Especialmente protegidos. | X | Otros. |
| Categorías de los interesados | |||||
|---|---|---|---|---|---|
| X | Empleados. | X | Pacientes. | X | Solicitantes. |
| X | Clientes y usuarios. | X | Estudiantes. | X | Beneficiarios. |
| X | Proveedores. | X | Personas de contacto. | X | Cargos públicos. |
| X | Asociados o miembros. | X | Padres o tutores. | Otros (especificar): | |
| X | Propietarios o arrendatarios. | X | Representación legal. | ||
| Concreción de los tratamientos a realizar | |||||
|---|---|---|---|---|---|
| X | Recogida. | X | Registro. | X | Organización. |
| X | Estructuración. | X | Modificación. | X | Limitación. |
| X | Conservación. | X | Extracción. | X | Destrucción. |
| X | Consulta. | X | Comunicación por transmisión. | X | Comunicación. |
| X | Difusión. | X | Cotejo. | X | Supresión. |
| Otros: | |||||
2. Medidas de seguridad a adoptar por el encargado.
Procedimientos de copias de seguridad y restauración:
El Encargado deberá tener un sistema de copias de seguridad que contemple los siguientes aspectos:
– El procedimiento deberá estar documentado, debiendo asimismo registrarse las incidencias del mismo.
– Se realizará una supervisión y seguimiento del mismo, con las alertas de verificación que en su caso procedan. Con carácter periódico deberá realizar una prueba de restauración que permita verificar el sistema.
– En el caso de que se realicen las copias a soportes externos, dichos soportes deberán ser inventariados y cifrados, implementándose medidas de seguridad que garanticen la adecuada conservación y control de acceso.
Activos-Clasificación de la información y controles de acceso a la misma:
– El Encargado deberá tener inventariados, bajo control y supervisión los activos del sistema de seguridad.
– La información del Responsable deberá estar identificada.
Puesto de escritorio: el Encargado deberá contar con las siguientes medidas:
– Antivirus actualizado.
– Sistemas operativos y programas con soporte de seguridad del fabricante y actualizados con los ultimas parches.
– Limitación de permisos y de las aplicaciones que se puedan instalar los usuarios.
– Cifrado de discos duros.
– Control de acceso al dispositivo.
– Bloqueo de pantalla automática ante inactividad.
– Cortafuegos habilitado.
– En el caso de que sean necesarios los accesos remotos, los mismos deberán estar cifrados con alguna solución que permita garantizar la confidencialidad de la información.
Redes y comunicaciones:
– Cortafuegos perimetral.
– Todos los elementos de red deberán tener una adecuada política de seguridad, lo que comprende que el acceso a los mismos para su gestión y administración se realice por un canal seguro.
– Si existen accesos remotos, deberán realizarse por VPN o similar.
– En el caso de que existan redes inalámbricas, las mismas deberán estar cifradas y estar adecuadamente aisladas y/o securizadas.
Actualizaciones de seguridad: El Encargado deberá mantener todos los sistemas que traten datos de carácter personal actualizados con los últimos parches y actualizaciones del fabricante.
Incidentes de seguridad y violaciones de la seguridad de los datos: El Encargado deberá contar con un protocolo de gestión de incidentes de seguridad que permita la identificación, adopción de las medidas de mitigación y correctoras adecuadas, así como la oportuna gestión y notificación de dichos incidentes ante el Responsable.
Protocolo de gestión de ejercicio de derechos: El Encargado tendrá un sistema para gestionar los ejercicios de derechos que puedan realizar los afectados.
Soportes y medios: El Encargado deberá contar con los protocolos adecuados que garanticen el inventario y trazabilidad de los soportes y medios que tratan datos. Deberá contar con políticas y procedimientos que permitan la adecuada eliminación de los datos en caso de reutilización del soporte o un adecuado protocolo de destrucción del soporte o medio.
Personal: El Encargado deberá desarrollar un programa de capacitación, formación y sensibilización para el personal a su cargo.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
