Agencia Estatal Boletín Oficial del Estado
Habiéndose suscrito el 10 de mayo de 2022 el Convenio entre la Secretaría de Estado de Seguridad y empresas de publicidad exterior para la difusión de mensajes puntuales y urgentes en espacios publicitarios, procede la publicación en el «Boletín Oficial del Estado» de dicho Convenio que figura como anexo a esta Resolución.
Madrid, 11 de mayo de 2022.–El Secretario General Técnico, Juan Antonio Puigserver Martínez.
Madrid, a 10 de mayo de 2022.
De una parte, don Rafael Pérez Ruiz, Secretario de Estado de Seguridad, cargo para el que fue nombrado por el Real Decreto 84/2020, de 17 de enero, en uso de las atribuciones que le confiere el artículo 62.2 g) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público;
De otra don Alfonso Marín Caffarena, en nombre y representación de la mercantil Ipunto Publicidad, SA, con CIF A-41156381, en calidad de Administrador Único electo, y con domicilio a efectos de notificaciones en calle Virgen de la Cinta, 49, bajo local 1, 41011 Sevilla, según escritura de poder otorgada ante el notario del Ilustre Colegio de Notarios de Andalucía don Arturo Otero López Cubero, el 28 de octubre de 2013 con el número de protocolo 5.557;
De otra don Jordi Sáez Camacho, en nombre y representación de la mercantil Clear Channel España, SLU, (en adelante Clear Channel) con CIF B-82539867, en calidad de Consejero Delegado, y con domicilio, a efectos de notificaciones, en calle Arturo Soria, 336, planta 1.ª, código postal 28033 Madrid, según escritura de poder otorgada ante el notario de Barcelona don Ildefonso Sánchez Prat, el 22 de febrero de 2018, con el número de protocolo 449;
De otra don Borja Balanzat Góngora, Apoderado de Exterion Media Spain, SAU, con domicilio a efectos de notificaciones en Madrid, calle Valle de la Fuenfría, 3, con CIF A-79816690, en poder autorizado ante el notario de Madrid don Pablo de la Esperanza Rodríguez, en fecha 4 de diciembre de 2012, bajo el número 7.238 de su protocolo;
De otra don José Luis Durán Ruiz, actuando en calidad de Apoderado de Redext Imagen Digital, SL, con domicilio social en avenida de los Pirineos, 7, 2.º planta, 28703 San Sebastián de los Reyes (Madrid), y con CIF B84781566, en ejercicio de las facultades que le fueron delegadas por el Consejo de Administración de dicha mercantil mediante acuerdo de su Consejo de Administración adoptado con fecha 26 de marzo de 2014, obrante en escritura pública autorizada por el notario de Madrid don Luis Rueda Esteban, con fecha 26 de marzo de 2014 (número de protocolo 555) inscrita en el Registro Mercantil al tomo 23170, folio 037, hoja M-00415242;
De otra don Pedro Várez González, en nombre y representación de Gran Pantalla de Eventos de Publicidad Exterior, SLU, con CIF B-83633727, y con domicilio social en San Sebastián de los Reyes (Madrid) avenida de los Pirineos, 7, planta 2.ª, en su condición de apoderado de la entidad de conformidad con escritura otorgada ante el notario de Madrid, don Luis Rueda Esteban, con fecha 10 de octubre de 2017, con el número 1.981 de su protocolo interno, escritura inscrita en el Registro Mercantil de Madrid, al tomo 32.541, folio 33, hoja M- 329.109, inscripción 14;
Todas las partes se reconocen mutua capacidad para obligarse y convenir y, a tal efecto
EXPONEN
Que las entidades Ipunto, Clear Channel, Exterion, Redext y Gran Pantalla desarrollan su actividad publicitaria y son titulares de la explotación monopostes publicitarios digitales, que se encuentran en perfecto estado para su uso, y están ubicados a lo largo de diversos emplazamientos de la geografía nacional.
Que el Ministerio del Interior, de acuerdo con las disposiciones contempladas en la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad y en el Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior es el órgano a quien corresponde la preparación y ejecución de la política del Gobierno en relación con la administración general de la seguridad ciudadana, la promoción de las condiciones para el ejercicio de los derechos fundamentales, especialmente en relación con la libertad y seguridad personal, en los términos establecidos en la Constitución española y las leyes que la desarrollan, correspondiendo al Ministro del Interior, como titular del Departamento, «la dirección de todos los servicios del Ministerio, el mando superior de las Fuerzas y Cuerpos de Seguridad del Estado y las demás funciones señaladas en el artículo 61 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, así como las que le sean atribuidas por otras leyes o normas especiales.»
Por todo ello, las partes intervinientes acuerdan suscribir el presente convenio que se regirá por las siguientes
CLÁUSULAS
Es objeto de este convenio es establecer un régimen de colaboración entre las partes a efectos de ofrecer espacios publicitarios para la difusión de mensajes puntuales y urgentes que precisen de la colaboración ciudadana.
– Corresponde a la Secretaría de Estado de Seguridad:
La Secretaría de Estado de Seguridad, a través del órgano directivo o de coordinación donde se desarrolle Ia actividad amparada en el presente convenio, tomará bajo su responsabilidad y a su cargo, con vista al desarrollo de alcanzar el objetivo, las siguientes actuaciones:
1) Facilitar el órgano competente y los mecanismos de contacto con el mismo para la activación de la difusión y desactivación de mensajes informativos referidos en este convenio.
2) Facilitar los materiales gráficos y escritos que se precisen para la difusión de los mensajes informativos objeto de este convenio.
3) Determinar el contenido concreto de los mensajes, así como de las imágenes antes de su difusión.
– Corresponde a Ipunto, Clear Channel, Exterion, Redext y Gran Pantalla:
Tomarán bajo su responsabilidad y a su cargo, con vistas al desarrollo de alcanzar el objetivo, las siguientes actuaciones:
1. Nombrar a su vez un coordinador que establezca contacto directo con el órgano competente para la activación de la difusión y desactivación de los mensajes informativos objeto de este convenio.
2. Asumir los costes internos que se derivasen de la adaptación, coordinación y emisión de los mensajes.
3. Asumir Ipunto, Clear Channel, Exterion, Redext y Gran Pantalla los costes de divulgación ocasionados entre ellos.
4. Ofrecer la positiva disposición para alcanzar, con la cobertura que fuera posible en el momento del requerimiento de la difusión por cada una de ellas, así como para el buen desenlace del objeto de divulgación informativa referido en este convenio.
5. Las empresas se abstendrán de difundir imágenes de miembros de las Fuerzas y Cuerpos de Seguridad del Estado tales que permitan su identificación, a menos que estos consientan expresamente tal difusión.
El desarrollo de la actividad se establecerá en el siguiente orden:
1. Designación de un único coordinador que represente a las partes de lpunto, Clear Channel, Exterion, Redext y Gran Pantalla con el departamento que SES designe, para diseñar y adaptar las plantillas generales necesarias.
2. La activación de SES a través de en un único órgano de contacto para el desarrollo de las actuaciones en cumplimiento de los objetivos del convenio.
3. Establecer, por parte de la comisión de seguimiento, un protocolo de activación de una difusión, en aras de garantizar en el menor espacio de tiempo posible dicha activación y la emisión en todos los soportes que estuvieran disponibles por parte de Ipunto, Clear Channel, Exterion, Redext y Gran Pantalla.
4. Asimismo establecer, por parte de la comisión de seguimiento, un protocolo de desactivación.
1. El mensaje de colaboración, que ha de ser distribuido por las citadas empresas será confeccionado por la Secretaría de Estado de Seguridad con la información que se reciba, y siempre que se cumplan todos los criterios de activación establecidos en la legislación vigente.
2. El mensaje contendrá aquella información que se considere de necesaria y de utilidad para prevención, detección, investigación de infracciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública, que con carácter general podrá referirse a:
a) Día, hora y lugar donde se produjo el hecho.
b) Nombre, edad y sexo de la persona interesada.
c) Fotografía actualizada.
d) Descripción física de la persona: estatura, peso, color del pelo y de los ojos.
e) Descripción de la ropa de la persona desaparecida cuando fue visto por última vez.
f) Datos de salud y medicación específica que se le esté administrando.
g) Caso de que se haya usado un vehículo: marca, modelo, color y matrícula.
3. El mensaje de alerta incluirá el número o números de teléfono para la recepción de las llamadas de colaboración ciudadana y, en su caso, una dirección de correo electrónico u otro canal apto para recibir información.
4. Asimismo, podrá contener una frase informando a los ciudadanos de la posible peligrosidad de la situación en caso de contacto directo con la persona interesada, aconsejando que se facilite la información de la que se disponga a las autoridades.
5. El mensaje informativo de alerta podrá ser alterado en función de la evolución de las informaciones que vayan recibiendo los responsables de la investigación.
6. Contará con elementos gráficos y/o de texto que permitan fácilmente identificarlo como una alerta de contenido oficial.
Una vez transcurrido el plazo de validez marcado para la alerta o cuando finalicen las causas que la motivaron por haber sido localizada la persona desaparecida, la Secretaría de Estado de Seguridad remitirá una notificación a las citadas empresas para que emita un contenido multimedia sobre el cese en la emisión de la alerta a los organismos y entidades finales y destinatarias de dicha información.
El mensaje preventivo de concienciación y sensibilización en materias relacionados con el objeto de este instrumento será confeccionado por la Secretaría de Estado de Seguridad con la información que quiera transmitirse a la sociedad, y que resulte de utilidad para mejorar la colaboración ciudadana y dar a conocer aquellos aspectos y recomendaciones que sean relevantes para actuar ante una desaparición de una persona.
El presente convenio no conlleva contraprestación económica alguna. Los espacios destinados a la divulgación de información objeto de este convenio serán ofrecidos por las entidades, en tanto tengan disponibilidad, y de forma gratuita.
Las actividades que resulten necesarias para el desarrollo de estas acciones no generarán gasto específico directo para el Ministerio del Interior, de conformidad con lo establecido en el artículo 7.3 de la Ley Orgánica 2/2012, de 27 de abril de Estabilidad Presupuestaria y Sostenibilidad Financiera, resultando así del mismo el coste cero para ese Departamento Ministerial.
Las actuaciones que se produzcan como consecuencia del desarrollo de este Acuerdo se ajustarán en todo caso a lo establecido en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (en adelante LOPDP), y en lo que le fuese de aplicación, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El tratamiento de datos personales se realizará en la medida en que sea necesario para los fines señalados en el en la cláusula primera y será realizado por una autoridad competente en ejercicio de sus funciones o por cuenta de ésta como responsable de tratamiento.
Las categorías de datos de carácter personal que serán tratados en función de este convenio se detallan en el instrumento anexo para concretar las obligaciones de los encargados de tratamiento.
La información sólo podrá utilizarse para el cumplimiento de las funciones legalmente encomendadas o su incorporación al procedimiento del que traen su causa, no pudiendo ser objeto de cesión a terceros, cualquiera que sea la naturaleza jurídica de estos. En ningún caso, participarán en el intercambio de información órganos o personas distintas de las designadas como competentes.
La violación de estas obligaciones conllevará la exigencia por la autoridad competente de las responsabilidades penales, administrativas y civiles a que diera lugar.
Dentro del marco de este instrumento, se excluye la categoría de información confidencial, entendiéndose como tal, toda aquella que haya de ser revelada a terceros o interesados de acuerdo con las leyes o con una resolución judicial o acto de autoridad competente.
Este convenio no ampara, en ningún caso, el intercambio de información clasificada conforme a la legislación reguladora de aplicación.
Para el cumplimiento del objeto del presente convenio el Ministerio del Interior y Las Partes deberán tratar los datos personales de los cuales la Secretaría de Estado de Seguridad es responsable del tratamiento, de la manera que se especifica en el Anexo del presente convenio, denominado «Tratamiento de Datos Personales».
Ello conlleva que actúen en calidad de encargados del tratamiento y, por tanto, tienen el deber de cumplir con la normativa vigente en cada momento, tratando y protegiendo debidamente los datos personales.
Por tanto, sobre la Secretaría de Estado de Seguridad recaen las obligaciones del responsable del tratamiento de conformidad con el artículo 27 de la LOPDP y sobre Las Partes las de encargado de tratamiento de los artículos 30 y 31 del mismo texto legal. Si éste último destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del presente convenio y/o la normativa vigente, será considerado también como responsable del tratamiento, respondiendo de las infracciones en que hubiera podido incurrir.
El anexo «Tratamiento de Datos Personales» describe en detalle los datos personales a proteger, así como el tratamiento a realizar y las medidas a implementar por Las Partes, como encargados de tratamiento.
En caso de que como consecuencia de la ejecución del presente convenio resultara necesario en algún momento la modificación de lo estipulado en el anexo «Tratamiento de Datos Personales», cada una de Las Partes lo requerirá razonadamente y señalará los cambios que solicita. En caso de que la Secretaría de Estado de Seguridad estuviese de acuerdo con lo solicitado emitiría un anexo «Tratamiento de Datos Personales» actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.
Se designa como punto de contacto (Pdc) a estos efectos el Centro Nacional de Desaparecidos de la Dirección General de Coordinación y Estudios a través de la dirección de correo electrónico ses.cndes@interior.es
Se crea una comisión de seguimiento, encargada de velar por el exacto cumplimiento de lo establecido en el presente convenio y resolver los problemas de interpretación y las incidencias que puedan plantearse en el mismo.
La comisión de seguimiento estará integrada por 11 miembros: 6 designados por la Secretaría de Estado de Seguridad y 5 por las diferentes empresas (1 por empresa).
El funcionamiento de la Comisión Mixta de Seguimiento se adecuará a lo dispuesto para los órganos colegiados en los artículos 15 a 22 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La modificación del contenido del convenio requerirá el acuerdo unánime de los firmantes. Cualquier modificación, resolución o prórroga del presente convenio será inscrita igualmente en el mencionado Registro Electrónico estatal de Órganos e instrumentos de Cooperación del Sector Público estatal.
a) Este convenio queda sometido al régimen jurídico de los convenios previsto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, teniendo naturaleza administrativa.
b) Las dudas o controversias que surjan entre las partes sobre los efectos, interpretación, modificación o resolución del mismo que no puedan resolverse por conciliación en la Comisión Mixta de Seguimiento, serán sometidas a los tribunales competentes de la jurisdicción contenciosos-administrativa.
De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el presente convenio se perfecciona con el consentimiento de las partes y resultará eficaz una vez sea inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Será obligatoria su publicación en el «Boletín Oficial del Estado».
Tendrá una vigencia de tres años y, de conformidad con lo dispuesto en el artículo 49 de la Ley 40/2015 de Régimen Jurídico del Sector Público, en cualquier momento antes de la finalización del plazo previsto en el párrafo anterior, los firmantes del convenio podrán acordar unánimemente su prórroga por un periodo de hasta cuatro años adicionales o su extinción.
Son causas de extinción del presente convenio las establecidas en el artículo 51 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
En caso de incumplimiento de las obligaciones y compromisos asumidos por las partes firmantes, se procederá de conformidad con lo previsto en los artículos 49 e) y 51.2. c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
No hay previsto otro tipo de indemnización en caso de incumplimiento.
La información tratada solo podrá utilizarse para el cumplimiento de las funciones legalmente encomendadas o su incorporación al procedimiento del que traen su causa, no pudiendo ser objeto de cesión a terceros, cualquiera que sea la naturaleza jurídica de estos. En ningún caso participarán en el intercambio de información órganos o personas distintas de las designadas como competentes.
La violación de estas obligaciones conllevará la exigencia por la autoridad competente de las responsabilidades penales, administrativas y civiles a que diera lugar.
De conformidad con lo establecido en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno y para un adecuado cumplimiento de las exigencias de publicidad activa, en lo que a publicación de los convenios se refiere, este convenio será objeto de publicación:
• en el sitio web del Ministerio del Interior y en el Portal de la Transparencia: https://transparencia.gob.es/servicios-buscador/buscar.htm?categoria=convenios&ente=E00003801&lang=es&historico=false
Y en prueba de conformidad de cuanto antecede, firman el presente convenio en siete ejemplares originales, igualmente válidos en lugar y fecha arriba indicados.–Por la Secretaría de Estado de Seguridad, Rafael Pérez Ruiz.–Por Ipunto Publicidad, SA, Alfonso Marín Caffarena.–Por Clear Channel España, SLU, Jordi Sáez Camacho.–Por Exterion Media Spain, SAU, Borja Balanzat Górgora.–Por Redext Imagen Digital, SL, José Luís Durán Ruiz.–Por Gran Pantalla de Eventos de Publicidad Exterior, SL, Pedro Várez González.
1. Estipulaciones como encargado de tratamiento:
De conformidad con lo previsto en los artículos 27, 30 y 31 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (en adelante LOPDP), cada una de Las Partes en su calidad de encargado de tratamiento se obliga y garantiza el cumplimiento de las siguientes obligaciones:
a) Tratar los datos personales conforme a las instrucciones documentadas en este documento y aquellas que reciba de la DGCE por escrito en cada momento. El encargado informará inmediatamente al responsable cuando, en su opinión, una instrucción sea contraria a la normativa de protección de datos personales aplicable en cada momento, a través del PdC.
b) No utilizar ni aplicar en ningún caso los datos personales con una finalidad distinta a la ejecución del objeto del presente Instrumento.
c) Tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 37 de la LOPDP, así como observar y adoptar las medidas técnicas y organizativas de seguridad, necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los datos personales a los que tenga acceso. En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detallados en el apartado 3 del presente instrumento.
d) Mantener la más absoluta confidencialidad sobre los datos personales a los que tenga acceso para la ejecución de este instrumento, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del encargado, siendo deber de esta parte instruir a las personas que de ella dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después, sin límite, de la terminación o desvinculación de las obligaciones derivadas de este instrumento.
e) Llevar un listado de personas autorizadas para tratar los datos personales y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente, así como a mantener a disposición de la DGCE dicha documentación acreditativa.
f) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas a su tratamiento.
g) Salvo que cuente en cada caso con la autorización expresa del responsable del tratamiento, no comunicar, ceder, ni difundir los datos personales a terceros, ni siquiera para su conservación.
h) Nombrar un delegado de protección de datos, en caso de que sea necesario según la normativa aplicable al encargado de tratamiento, y comunicarlo a la DGCE también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el encargado como sus representante(s) a efectos de protección de los datos personales (representantes del encargado de tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de datos personales, en las vertientes legales/formales y en las de seguridad.
i) Una vez finalizada la prestación objeto del presente instrumento se compromete, según corresponda y se instruye en el presente «Acuerdo de Tratamiento de Datos Personales», a destruir todos los datos personales a los que haya tenido acceso, los generados ese encargado por causa del tratamiento y los soportes y documentos en que cualesquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho de la Unión Europea su conservación, en cuyo caso no procederá la destrucción, sino la supresión de la actividad de tratamiento.
El encargado del tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el responsable del tratamiento. En este último caso, los datos personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
j) Según corresponda y se indique en el presente, a llevar a cabo el tratamiento de los datos personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que se especifican, equipamiento que podrá estar bajo el control de la DGCE o bajo el control directo o indirecto del encargado, u otros que hayan sido expresamente autorizados por escrito y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución de este instrumento.
k) Salvo que se indique otra cosa en este instrumento o se instruya así expresamente por la DGCE, a tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera terceros autorizados conforme a lo establecido en este documento, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que por causa de Derecho nacional o de la Unión Europea el encargado se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará por escrito a la DGCE de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean necesarios, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
l) De conformidad con el artículo 30 de la Directiva con fines policiales, comunicará a la DGCE, de forma inmediata, sin dilaciones indebidas y a más tardar en el plazo de 48 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución de estas actuaciones. Comunicará con diligencia la información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
m) Cuando una persona ejerza un derecho en relación con el tratamiento de estos datos (de acceso, rectificación, supresión y limitación del tratamiento, a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable, conjuntamente, los «Derechos»), ante el encargado del tratamiento, éste debe comunicarlo a la DGCE con la mayor prontitud a más tardar en el plazo de 96 horas. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá a la DGCE, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos y en los casos en que sea necesario una consulta previa a la Autoridad de Control.
n) Colaborar con la DGCE en el cumplimiento de sus obligaciones en materia de: 1.º Medidas de seguridad, 2.º Comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y 3.º Realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga. Asimismo, pondrá a disposición de la DGCE, a requerimiento de esta, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por la ésta.
ñ) Llevar en formato electrónico o analógico y de conformidad con lo previsto en el artículo 32.2 de la LOPDP, un registro de todas las categorías de actividades de tratamiento efectuadas en nombre y por cuenta del Responsable del tratamiento, que contenga, al menos, las circunstancias a que se refiere dicho artículo y, de conformidad con el artículo 33, un registro de operaciones en el que, al menos, se recojan las operaciones de tratamiento siguientes: recogida y grabación. Ambos registros, estarán a disposición de la autoridad de control previa solicitud de esta y de conformidad con la legislación aplicable.
o) Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de datos personales y del deber de responsabilidad activa. Asimismo, durante el desarrollo de estas acciones, pondrá a su disposición toda información, certificaciones y auditorías realizadas en cada momento.
p) Derecho de información: El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar al interesado la información relativa a los tratamientos de datos que se van a realizar de conformidad con el anexo al presente instrumento.
q) Tratamiento de datos de carácter personal por terceros ajenos al encargo de tratamiento:
Cuando las obligaciones a llevar a cabo permitan que las actividades objeto del mismo sean llevadas a cabo por otra persona física o jurídica, y en caso de que el encargado pretenda ejecutar las prestaciones contenidas en este instrumento con terceros, y éste deba acceder a datos personales, lo pondrá en conocimiento previo de la DGCE, identificando qué tratamiento de datos personales conlleva, para que decida, en su caso, si otorgar o no su autorización a dicha ejecución de actividades. En todo caso, para autorizar la ejecución de actividades, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde a la DGCE la decisión de si otorgar, o no, dicho consentimiento):
a) Que el tratamiento de datos personales por parte del tercero que ejecuta las prestaciones se ajuste a la legalidad vigente, lo contemplado en este instrumento y a las instrucciones de la Secretaría de Estado de Seguridad.
b) Que el encargado y el tercero que ejecute parte de las prestaciones formalicen un acto jurídico de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente, el cual será puesto a disposición de la Secretaría de Estado de Seguridad a su mera solicitud para verificar su existencia y contenido.
El encargado informará a la DGCE de cualquier cambio previsto en la incorporación o sustitución de otros terceros que ejecuten las actuaciones a llevar a cabo, dando así al responsable la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta de la DGCE a dicha solicitud por el contratista equivale a oponerse a dichos cambios.
r) Para el cumplimiento del objeto de este instrumento no se requiere que el encargado acceda a ningún otro dato personal responsabilidad de la DGCE, y por tanto no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en el mismo. Si se produjera una incidencia durante la ejecución que conllevara un acceso accidental o incidental a datos personales responsabilidad de la DGCE no contemplados en el presente, el encargado deberán ponerlo en su conocimiento con la mayor diligencia y a más tardar en el plazo de 72 horas.
2. Información sobre el tratamiento de los datos de carácter personal:
Los datos de carácter personal serán tratados por la Secretaría de Estado de Seguridad para ser incorporados al Fichero de «Personas Desaparecidas y Restos Humanos sin Identificar» (PDYRH), cuya finalidad es: la averiguación de personas desaparecidas y cadáveres/restos humanos sin identificar, con el fin de detectar, prevenir o investigar delitos buscando la colaboración entre las Fuerzas y Cuerpos de Seguridad, tanto nacionales como integrales (autonómicas).
Los datos e informaciones que se emitan con el objetivo de concienciar y sensibilizar a la sociedad, así como las alertas que se comuniquen para su difusión serán realizadas a través del CEPIC.
Se remitirá una descripción detallada de los argumentos, relatos, imágenes u otras cuestiones que deban incluirse en las alertas y mensajes de concienciación a distribuir por las empresas de publicidad.
Se autoriza el uso de la imagen institucional del Ministerio del Interior, Secretaria de Estado de Seguridad y el CNDES por las empresas de publicidad en los actos e instrumentos.
Se conservarán los datos de conformidad con el artículo 8 de la LOPDP y durante el tiempo necesario asimismo para determinar las posibles responsabilidades que se pudieran derivar del tratamiento de los datos.
Los derechos de acceso, rectificación, supresión y limitación a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se podrán ejercitar ante la unidad de gestión de la Secretaría de Estado de Seguridad responsable del tratamiento:
– Email: ses.cndes@interior.es
– Teléfono: 91 537 28 10.
Se puede obtener más información para el ejercicio de estos derechos en http://www.interior.gob.es/web/servicios-al-ciudadano/participacion-ciudadana/proteccion-de-datos-de-caracter-personal/tutela-de-los-derechos
Del mismo modo, se tendría derecho a reclamar ante la Agencia Española de Protección de Datos (www.aepd.es) por cualquier cuestión relacionada con este instrumento.
Previa a la reclamación ante la Agencia Española de Protección de Datos, si se considerase que el responsable del tratamiento no ha satisfecho correctamente los derechos, se puede solicitar una valoración ante el Delegado de protección de datos de acuerdo al tratamiento objeto del derecho.
El Delegado de protección de datos en este caso es el Delegado de Protección de Datos de la Secretaría de Estado de Seguridad. Calle Amador de los Ríos, n.º 2. Madrid 28010. Email de contacto: ses.dpd@interior.es. Teléfono: 91 537 19 24/25. Para ejercer derechos se debe acudir a los sistemas implementados a tales efectos que garanticen la identidad y voluntad del interesado.
3. Descripción general del tratamiento de datos personales a efectuar:
3.1 Descripción.
El tratamiento consistirá en: Las Partes, de acuerdo con el artículo 30 y 31 de la LOPDP, se encargará de la distribución de contenido multimedia recibido en relación con la finalidad del tratamiento.
El personal adscrito por Las Partes, para ejecutar las prestaciones del presente convenio puede tratar datos personales. Estos se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance del objeto del convenio.
En caso de que como consecuencia de la ejecución de las prestaciones del convenio resultara necesario en algún momento la modificación de lo estipulado en este anexo, Las Partes lo requerirán razonadamente y señalarán los cambios que solicita. En caso de que la Secretaría de Estado de Seguridad estuviese de acuerdo con lo solicitado, la Secretaría de Estado de Seguridad emitiría un anexo actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.
3.2 Colectivos y datos tratados:
Los colectivos de interesados y datos personales tratados a las que pueden tener acceso Las Partes son:
| Tratamiento: Distribución de contenido multimedia recibido, relativo a la finalidad del tratamiento |
|---|
| Datos personales del tratamiento a los que se puede acceder |
| Distribución de contenido multimedia recibido, relativo a la finalidad del tratamiento: Nombre, apellidos, apodo, sexo, fecha y lugar de nacimiento, nombre de los progenitores, nacionalidad, número, domicilio, fotografía, datos de salud, datos fisiológicos como el peso, constitución física, cabello, ojos, piel, nariz, mentón, cara, tatuajes, cicatrices, lunares o verrugas, malformaciones, implantes estéticos, piercing o perforaciones y amputaciones |
| Categorías de interesados: |
| Cualquiera de las descritas en los apartados a) a c) del artículo 9 de la LOPDP. |
3.3 Elementos del tratamiento:
| El tratamiento de los datos personales comprenderá: (márquese lo que proceda SI o No) | |
|---|---|
| Recogida (Captura de datos). | NO |
| Registro (Grabación). | SI |
| Estructuración. | SI |
| Conservación (Almacenamiento). | SI |
| Consulta. | NO |
| Cesión. | NO |
| Difusión. | SI |
| Supresión. | SI |
| Destrucción (de copias temporales). | SI |
| Conservación por el tiempo estrictamente necesario (en sus sistemas de información). | SI |
3.4 Disposición de los datos al finalizar el objeto del convenio:
Una vez finalice el objeto del convenio, Las Partes debe:
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del convenio.
No obstante, el responsable del tratamiento podrá requerir al encargado para que en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplido el objeto del convenio. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del convenio.
3.5 Medidas de seguridad:
Los datos deben protegerse empleando las medidas que un sujeto diligente debe tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad, disponibilidad, trazabilidad y autenticación. De acuerdo con la evaluación de riesgos realizada, se deben implantar, al menos, las medidas de seguridad siguientes:
Las Partes deberán adoptar las correspondientes medidas de protección, técnicas y organizativas de seguridad que sean necesarias a la hora de realizar la distribución del contenido multimedia dispensado, conforme o en analogía a las dispuestas en el Esquema Nacional de Seguridad, aprobado mediante Real Decreto 3/2010, de 8 de enero.
Las Partes no podrán no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa de la Secretaría de Estado de Seguridad. A estos efectos, el personal de Las Partes debe seguir las medidas de seguridad establecidas por la Secretaría de Estado de Seguridad, no pudiendo efectuar tratamientos distintos de los definidos por este último.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
