Agencia Estatal Boletín Oficial del Estado

Con fecha 29 de enero de 2025 se ha firmado Adenda de modificación del Convenio entre el Ministerio de Cultura y Deporte (Ministerio de Cultura en la actualidad) y el Banco Santander, SA, para el patrocinio del sistema de gestión, reserva y venta de entradas del Museo Nacional y Centro de Investigación de Altamira, por lo que conforme a lo previsto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, una vez inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal, procede la publicación en el «Boletín Oficial del Estado» de dicha adenda, que figura como anexo a esta resolución.

Madrid, 30 de enero de 2025.–La Directora General de Patrimonio Cultural y Bellas Artes, María Ángeles Albert de León.

ANEXO

Adenda de modificación del Convenio entre el Ministerio de Cultura y Deporte (Ministerio de Cultura en la actualidad) y el Banco Santander, SA, para el patrocinio del sistema de gestión, reserva y venta de entradas del Museo Nacional y Centro de Investigación de Altamira

En Madrid, a 29 de enero de 2025.

REUNIDOS

De una parte, el Ministerio de Cultura, representado por doña María Ángeles Albert de León, Directora General de Patrimonio Cultural y Bellas Artes, designada mediante Real Decreto 1150/2024, de 11 de noviembre, y actuando en virtud de las competencias que le vienen conferidas en el capítulo II, apartado cuarto, 2.e) de la Orden CLT/503/2024, de 27 de mayo, sobre fijación de límites para la administración de créditos para gastos y de delegación de competencias.

Y de otra, Banco Santander, SA (en adelante, el Banco), con CIF A-39000013 y domicilio social en paseo Pereda, 9-12, Santander CP 39004 Cantabria, representado en este acto por don Roberto García-Borbolla Palazuelos con NIF ***5416** y doña María Rebeca Gómez Fernández con NIF ***4178** en calidad de representantes de la empresa y en uso de las facultades que tienen conferidas a virtud de poderes otorgados a su favor.

Don Roberto García-Borbolla Palazuelos, con escrituras de apoderamiento otorgadas ante el Notario del Ilustre Colegio de Cantabria, don Juan de Dios Valenzuela García, en Santander a 20 de mayo de 2022, bajo el núm. 1246 de su protocolo y a 26 de abril de 2022, ante el notario don Juan de Dios Valenzuela García, bajo el núm. 942 de su protocolo, e inscritas en el Registro Mercantil de Cantabria. Así como, las otorgadas en Santander el día 26 de abril de 2022 ante el notario don Juan de Dios Valenzuela García, bajo el número 941 de protocolo e inscrita en el Registro Mercantil de Cantabria.

Doña María Rebeca Gómez Fernández, con NIF n.º ***4178**, con escrituras de apoderamiento otorgadas ante el Notario del Ilustre Colegio de Cantabria, don Juan de Dios Valenzuela García, en Santander a 6 de octubre de 2023, bajo el núm. 2.418 de su protocolo y a 6 de octubre de 2023, ante el notario don Juan de Dios Valenzuela García, bajo el núm. 2.417 de su protocolo, e inscritas en el Registro Mercantil de Cantabria. Así como, las otorgadas en Santander el día 6 de octubre de 2023 ante el notario don Juan de Dios Valenzuela García, bajo el número 2.415 de protocolo e inscrita en el Registro Mercantil de Cantabria.

En adelante, el Banco y el Ministerio, conjuntamente como las «Partes» e individualmente cada una de ellas como la «Parte».

Se conceptúan ambas Partes con la capacidad legal necesaria para formalizar la presente adenda de modificación del convenio y a tal efecto

EXPONEN

I. Que el día 21 de abril de 2021 las Partes intervinientes firmaron un convenio para el patrocinio del sistema de gestión, reserva y venta de entradas del Museo Nacional y Centro de Investigación de Altamira (en adelante el Museo).

II. Que en la cláusula octava del convenio de referencia las partes manifestaron que para la prestación de los servicios no se tratarían datos personales, pero que no obstante «En caso de ser necesario porque en el futuro la prestación del servicio requiriera el tratamiento de datos personales, las partes pactarán lo concerniente a la materia sobre protección de datos en consonancia con los requerimientos normativos».

III. Que en el transcurso de la confección de la solución sobre la que ha trabajado el Banco se ha verificado que el Banco tratará datos personales por cuenta del Museo, por lo que en cumplimiento del pacto indicado en el expositivo anterior, y con carácter previo al comienzo de la prestación del sistema de gestión, reserva y venta de entradas, que conllevaría también el comienzo del tratamiento de datos por parte del Banco por cuenta del Museo, las partes han convenido modificación del convenio en el otorgamiento de encargo del Tratamiento que se regirá por lo establecido en la normativa sobre protección de datos, el presente documento y, en especial, por las siguientes

CLÁUSULAS

Primera. Objeto.

Constituye el objeto de la presente adenda establecer una modificación del convenio entre el Ministerio de Cultura y Deporte (Ministerio de Cultura en la actualidad) y el Banco Santander, SA, para el patrocinio del sistema de gestión, reserva y venta de entradas del Museo Nacional y Centro de Investigación de Altamira.

Segunda. Modificación de la cláusula octava.

La cláusula octava queda redactada como sigue:

«Octava. Protección de datos.

1. General.

Las Partes se ratifican en su compromiso de cumplir plenamente las obligaciones establecidas en el Reglamento (UE) 2016/679 de relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (Reglamento General de Protección de Datos, RGPD), en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y en cualesquiera otras obligaciones legales aplicables en materia de protección de datos así como las recogidas en la presente clausula y en el correspondiente anexo de descripción del objeto de los servicios.

En particular, las Partes deberán aplicar las medidas de seguridad requeridas por el RGPD y la LOPDGDD, siendo personalmente responsables por cualquier sanción, multa o daño que pueda ser impuesto a cualquier parte como consecuencia de un incumplimiento de las obligaciones previstas en las leyes de protección de datos.

2. Tratamiento de datos personales.

Como quiera que durante la vigencia del convenio habrá acceso o tratamiento de datos personales por parte del Banco por cuenta del Museo, será de aplicación lo establecido en el artículo 28 del RGPD.

Estos datos personales pueden ser datos respecto a los cuales el Museo es responsable del tratamiento y por lo tanto el Banco será el encargado del tratamiento. Con respecto al objeto del tratamiento por el Banco, este tendrá como finalidad la ejecución del objeto del convenio de referencia. Los tipos de datos personales a tratar, las categorías de interesados, la concreción de los tratamientos y las medidas de seguridad aplicables se recogen a continuación. En caso de que se permita la subcontratación o el uso de sub-encargados se procederá de acuerdo con lo establecido en el apartado referido a la subcontratación en la presente cláusula.

3. Actuaciones del Banco con relación al tratamiento de datos personales:

a) El Banco accederá a las siguientes categorías de interesados:

– Visitantes del museo y/o cueva.

b) El Banco accederá a los siguientes tipos de datos personales básicos de los interesados anteriormente indicados:

– Datos de carácter identificativo: Documento identificativo (DNI, ID number o pasaporte), dirección, dirección IP, correo electrónico.

– Datos relativos a las características personales: Nacionalidad.

c) El Banco realizará los siguientes tratamientos por cuenta del Museo con respecto a los datos anteriormente mencionados:

– Recogida (captura de información donde existen datos de carácter personal).

– Registro (inscribir o grabar la información en algún tipo de sistema o dispositivo, automatizado o no automatizado, para su posterior tratamiento).

– Organización (ordenar y estructurar la información para facilitar su tratamiento).

– Conservación (mantener la información durante un determinado periodo de tiempo).

– Adaptación o modificación (alterar o cambiar la información).

– Extracción (obtener la información de un sistema o dispositivo original para su envío o traspaso a otro sistema o dispositivo).

– Consulta (buscar los datos sobre el sistema o dispositivo en el que se encuentra registrada).

– Utilización (usar la información para una finalidad concreta).

– Comunicación por transmisión (enviar los datos a otro destinatario desde su sistema o dispositivo origen a través de medios electrónicos).

– Difusión o cualquier otra forma de habilitación de acceso, cotejo, o interconexión, limitación (poner a disposición de otros usuarios o destinatarios la información registrada en un sistema o dispositivo).

– Supresión (eliminar, hacer desaparecer la información en el sistema o dispositivo en el que esté originalmente registrada).

– Destrucción (inutilizar un soporte físico para evitar el acceso a la información).

4. Compromisos con respecto a los datos personales a los que se tengan acceso o se traten durante la vigencia del convenio:

4.1 Deber de secreto.

El Banco se compromete, de conformidad con lo establecido en el artículo 5 de la LOPDGDD, a mantener el deber de confidencialidad con respecto a todos los datos personales contenidos en los ficheros de datos a los que pueda tener acceso a través de cualquier medio electrónico, documentos y/o medios visuales como resultado de este convenio.

A estos efectos, el Banco garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.

4.2 Instrucciones del Museo.

El Banco se compromete a tratar los datos personales a los que tenga acceso únicamente conforme a las instrucciones documentadas que, a tal efecto, le indique el Museo. Este compromiso se extenderá asimismo con respecto a las Transferencias Internacionales de Datos de carácter personal a un tercer país o una Organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado, en este caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones de importantes de interés público.

En consecuencia, los datos que se conozcan u obtengan en virtud de este convenio, no podrán ser utilizados para ninguna otra finalidad distinta de la ejecución del mismo, tendrán carácter confidencial y no serán publicados o puestos en conocimiento de terceras partes sin la autorización previa y por escrito del Museo salvo en los casos expresamente autorizados por la ley.

En este sentido, el Banco se compromete a informar inmediatamente al Museo en el caso en que una instrucción dirigida por este pudiera infringir las disposiciones que resultasen aplicables en materia de protección de datos recogidas en el ordenamiento comunitario o de los Estados miembros.

4.3 Subcontratación.

En el caso en el que se permita la subcontratación y el Banco pretenda recurrir a otro subcontratista (sub-encargado) para llevar a cabo determinadas actividades de tratamiento de datos personales por cuenta del Museo, el Banco obtiene una autorización general a los sub-encargados que se describen a continuación y a los que en el futuro el Banco pudiera subcontratar:

Platinium Group, SL, con CIF B66595521.

El Banco impondrá por escrito al sub-encargado las mismas obligaciones de protección recogidas en la presente cláusula. Dichas obligaciones serán igualmente extensibles para el Banco en el supuesto de que el sub-encargado utilice otros terceros, así como en el caso de existir una cadena de subcontratistas, de tal modo que el Banco y cualquiera de los subcontratistas hasta llegar al último de la cadena queden sujetos a las mismas obligaciones.

4.4 Registro de actividades de tratamiento.

En el marco de lo establecido en el artículo 30 del RGPP, el Banco llevará un registro por escrito y en formato electrónico de todas las categorías de actividades de tratamiento efectuadas que incluirá como mínimo la siguiente información:

– Nombre y datos de contacto del responsable en materia de protección de datos del Banco y, en su caso, los del Delegado de Protección de Datos.

– Categoría del tratamiento.

– En caso de transferencia internacional, identificación del tercer país y la documentación de garantías adecuadas.

– Descripción de las medidas técnicas, organizativas, físicas y administrativas de seguridad.

4.5 Notificación de brechas de seguridad.

El Banco se compromete a notificar al Museo a las siguientes direcciones de correo electrónico: administracion.maltamira@cultura.gob.es, sin dilación indebida desde que tuvo conocimiento del mismo, cualquier incidente de seguridad de los datos personales, de conformidad con la naturaleza de los datos tratados, los riesgos asociados a la pérdida, destrucción o alteración de dichos datos de carácter personal y la información de que disponga el Banco a fin de que el Museo tome las decisiones oportunas con respecto al incidente de seguridad producido, las cuales serán trasladadas al Banco.

En dicha notificación, si fuera posible, el Banco informará de lo descrito a continuación:

a) Datos del convenio y del servicio afectados por la brecha de seguridad.

b) De la naturaleza de la violación de la seguridad de los datos, así como, si fuera posible, las categorías y el número aproximado de los interesados afectados, y las categorías y el número aproximado de registros de datos personales afectado.

c) El nivel de riesgo estimado para los derechos y libertades de las personas físicas.

d) De los datos de contacto de la persona que puede facilitar más información sobre el incidente de seguridad.

e) De las posibles consecuencias del mismo.

f) De las medidas adoptados o propuestas para remediar a la brecha de la seguridad y/o para mitigar los posibles efectos negativos.

Si en un primer momento el Banco no fuera capaz de informar de todas las cuestiones indicadas con anterioridad, las comunicará tan pronto tenga conocimiento de las mismas.

4.6 Derechos de los interesados.

El Banco asistirá al Museo, mediante la aplicación de aquellas medidas técnicas y organizativas que resulten apropiadas, y de conformidad con la naturaleza de los datos tratados, en relación con las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados y, en particular, sus Derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición al tratamiento de sus datos, solicitud de la portabilidad de sus datos de carácter personal, limitación del tratamiento, así como a la facultad de no ser objeto de una decisión individual automatizada, incluyendo la elaboración de perfiles.

En caso de que personas físicas ejercieran sus derechos ante el Banco, este informará de dicha circunstancia al Museo a la mayor brevedad mediante correo electrónico a la dirección de correo electrónico: administracion.maltamira@cultura.gob.es.

4.7 Devolución o destrucción de los datos.

Una vez cumplida la prestación del servicio o terminación del convenio por cualquier otra causa y a elección del Museo, el Banco se compromete a devolver y/o destruir en los plazos y formas que el Museo le indique todos los datos personales a los que tenga acceso para la realización del objeto del convenio, al igual que cualquier soporte o documento en el que consten y se obliga a no tratar, bajo ninguna forma o concepto, dichos datos personales; pudiendo no obstante el Banco, conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Museo, responsable del tratamiento.

4.8 Deber de diligencia.

El Banco se compromete a facilitar al Museo toda aquella información que resulte necesaria para demostrar el cumplimiento de sus obligaciones, y, en su caso, informará al Museo en relación con su adhesión a un código de conducta aprobado, o su adscripción a cualquier mecanismo de certificación que pueda garantizar el cumplimiento de sus obligaciones en relación con el tratamiento de datos de carácter personal. En caso de que el Banco esté adscrito a un código de conducta o mecanismo de certificación, el Museo podrá requerirle en cualquier momento de la vigencia del convenio para que lo justifique documentalmente.

En el caso de que el Museo así lo solicitase, el Banco permitirá la realización auditorías e inspecciones en relación con el tratamiento efectuado por este, bien por parte del Museo o de otro auditor autorizado por el Museo.

El Banco facilitará el apoyo que, en su caso, le pudiera solicitar el Museo en la realización de los análisis de impacto y en las consultas previas que se pudieran realizar a la autoridad competente en materia de protección de datos.

4.9 Medidas de seguridad.

El Banco cumplirá, con respecto a los datos personales a los que tenga acceso durante la prestación del objeto del presente documento, con las medidas de seguridad, de carácter organizativo, técnico, físico y administrativo, que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo que pudiera derivarse del tratamiento, garantizar la seguridad, integridad, disponibilidad de los datos de carácter personal y evitar su alteración, pérdida, destrucción accidental o ilícita, tratamiento, revelación o acceso no autorizado en todo momento, habida cuenta del estado de la tecnología, los costes de aplicación, la naturaleza de los datos almacenados, el alcance del tratamiento, así como los riesgos a que estén expuestos y el impacto que esto pudiera tener sobre los derechos y libertades de las personas físicas, ya provengan de la acción humana o del medio físico o natural, dando así cumplimiento a lo exigido por la normativa vigente. Asimismo, el Banco deberá implantar aquellos mecanismos para restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

De acuerdo con la evaluación de riesgos realizada por el Museo y lo establecido en el artículo 28 del GDPR, el Banco adoptará como mínimo las siguientes medidas de seguridad técnicas y organizativas:

– Nombramiento de un responsable en materia de protección de datos, quien deberá asegurar el continuo cumplimiento de la normativa aplicable, que podrá tener la consideración de Delegado de Protección de Datos (DPO) en caso que sea necesario.

– Establecimiento de funciones y responsabilidades del personal que trate datos personales.

– Comunicación entre el personal de las funciones y responsabilidades definidas asociadas al cumplimiento de la normativa en materia de protección de datos.

– Definición de roles y perfiles para los usuarios de las aplicaciones y sistemas donde se traten dichos datos de acuerdo a las funciones y responsabilidades establecidas, de forma que se evite el acceso a datos o recursos distintos de los autorizados. Este sistema de control de acceso deberá garantizar adecuados mecanismos de identificación y autenticación de los usuarios, como por ejemplo a través del uso de contraseñas que han de ser renovadas de forma periódica, uso de datos biométricos, bloqueo automático de usuario ante intentos sucesivos fallidos de acceso, etc.

– Medidas automatizadas que limiten de acceso a información para usuarios no autorizados o fuera del plazo de conservación determinado, como por ejemplo mediante técnicas de borrado o de seudonimización de datos.

– Procedimientos que limiten el acceso físico a las instalaciones donde se encuentren ubicados los sistemas de información o los soportes físicos.

– Registros de control y acceso sobre soportes que contengan datos de carácter personal, que además deberán contar con mecanismos de acceso limitado (p.e. cintas de backup, USBs, dossieres, CDs, etc.).

– Procedimientos de recuperación de datos personales ante su posible destrucción, pérdida o alteración, bajo la supervisión y aprobación del responsable en materia de protección de datos.

– Procedimientos de detección, evaluación y notificación, en caso de ser necesario, de incidentes de seguridad que puedan afectar a los derechos y libertades de los interesados.

– Ejecución de revisiones periódicas de cumplimiento y de definición y ejecución de los planes de acción para la mitigación de los riesgos detectados.

El Banco realizará su evaluación de riesgos, de cuyo resultado se podrá derivar la necesidad de adoptar otras medidas de seguridad técnicas y organizativas adicionales a las indicadas con anterioridad.

4.10 Transferencias internacionales de datos.

Las transferencias de datos personales a un tercer país o a una organización internacional por parte del Banco solo podrán realizarse siguiendo instrucciones documentadas del Museo o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el Banco; se llevarán a cabo de conformidad con el capítulo V del RGPD (artículos 44 a 50).

En la medida en que el Banco transfiera datos de carácter personal del interesado (ya sea por almacenamiento, acceso remoto u otro) a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega, en adelante “EEE”), que no hayan sido declarados de nivel adecuado de protección de datos de carácter personal por la Comisión Europea (incluyendo una transferencia ulterior) el Banco declara que:

(i) Ha adoptado las garantías adecuadas de acuerdo con el artículo 46.2 del RGPD (las “Garantías”). En caso de que la transferencia se rija por las Cláusulas Contractuales Tipo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, la transferencia se regulará de acuerdo con el Módulo tres de encargado a encargado).

(ii) Ha implementado e incorporado a las Garantías las medidas complementarias que resulten pertinentes de acuerdo con el riesgo regulatorio del país destino, asegurando que los datos personales transferidos estén sujetos a un nivel de protección esencialmente equivalente al proporcionado en el EEE.

(iii) No tiene motivos para creer, de acuerdo con la evaluación efectuada, que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento impidan al importador de datos cumplir con las obligaciones previstas en las Garantías. Dicha aseveración se fundamenta en que el Derecho y las prácticas respetan en lo esencial los derechos y libertades fundamentales y no exceden de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del RGPD.

(iv) A petición del Museo, el Banco pondrá a disposición del Museo los documentos justificativos que demuestren que las transferencias internacionales de datos ofrecen debidamente las salvaguardias pertinentes antes indicadas.

A efectos aclaratorios, el Banco se abstendrá de realizar la transferencia internacional de datos hasta que no se haya obtenido la autorización del Museo.

El Banco revisará e impugnará la legalidad de cualquier solicitud proveniente de una autoridad pública extranjera, informará inmediatamente al Museo sobre cualquier requerimiento para el acceso a datos personales del Museo por autoridades extranjeras y, en su caso, informará al Museo sobre los detalles razonables relativos al acceso por autoridades extranjeras.

4.11 Tratamiento de datos personales de representantes, personas de contacto y otros empleados de las Partes.

Los firmantes del presente convenio declaran conocer:

i. Que sus datos personales que figuran en este convenio y todos aquellos que durante la presente relación pudieran recabarse, se tratarán bajo la responsabilidad de cada Parte para la celebración, ejecución y control de este convenio y el cumplimiento de sus respectivas obligaciones legales.

ii. Que podrán ejercitar, en cualquier momento, sus derechos de acceso, rectificación, supresión, oposición, portabilidad y de limitación del tratamiento (o cualesquiera otros reconocidos por ley) mediante notificación escrita a la parte correspondiente, a la atención del responsable o delegado de protección de datos, a las direcciones indicadas en este convenio en el apartado de Notificaciones a efectos de Protección de Datos.

iii. Que el Delegado de Protección de Datos es la figura encargada de hacer efectivo el cumplimiento de la normativa de protección de datos. Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos cuyos datos se incluyen en el apartado de Notificaciones a efectos de Protección de Datos.

iv. Que los datos serán tratados durante la vigencia del convenio y, tras ello, permanecerán bloqueados por el periodo de prescripción de cualesquiera acciones legales o contractuales que resulten de aplicación.

v. Que pueden presentar cualquier reclamación o solicitud relacionada con la protección de datos personales ante la Agencia Española de Protección de Datos.

Asimismo, y en cumplimiento de la normativa aplicable de protección de datos, las Partes se obligan a informar a las personas de contacto u otros empleados cuyos datos personales se recojan en el marco del presente convenio del tratamiento de todas las cuestiones referidas en los puntos anteriores.»

El resto del clausulado del convenio se mantiene en idénticos términos.

Tercera. Eficacia de la adenda.

Conforme a lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, la presente adenda al convenio se perfecciona con la firma de las partes y resultará eficaz una vez inscrita, en el plazo de cinco días hábiles desde su formalización, en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal (REOICO). Dicha adenda surtirá efectos con su inscripción en REOICO antes de la fecha de extinción del convenio. Asimismo, será publicada en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado».

Y en prueba de conformidad, las Partes firman la presente adenda, por duplicado, quedando un ejemplar en poder de cada parte y a un solo efecto, en el lugar y fecha señalados en el encabezamiento.–Por el Ministerio de Cultura, la Directora General de Patrimonio Cultural y Bellas Artes, María Ángeles Albert de León.–Por el Banco de Santander, los Apoderados, Roberto García-Borbolla Palazuelos y María Rebeca Gómez Fernández.