La Universidad Nacional de Educación a Distancia y el Consorcio Público Universitario Centro Asociado UNED de Ponferrada M.P han suscrito, con fecha 16 de junio de 2025, una encomienda de gestión de la Universidad Nacional de Educación al Consorcio Público Universitario Centro Asociado UNED de Ponferrada M.P, para la realización/prestación de servicios de soporte y mantenimiento de actividades vinculadas a la Cátedra Smart Rural IoT and Secured Environments. Cátedra-Laboratorio de análisis y detección Ciber-amenazas para IoT en entornos Smart Rural (C56.23).
Madrid, 27 de junio de 2025.–La Secretaria General de la Universidad Nacional de Educación a Distancia, Elena Maculan.
ANEXO I
Acuerdo de Encomienda de Gestión de la UNED al Consorcio Público Universitario Centro Asociado UNED de Ponferrada M.P. para la realización/prestación de servicios de soporte y mantenimiento de actividades vinculadas a la Cátedra Smart Rural IoT and Secured Environments. Cátedra-Laboratorio de Análisis y detección Ciber-amenazas para IoT en entornos Smart Rural (C56.23)
De una parte, don Ricardo Mairal Usón, Rector de la Universidad Nacional de Educación a Distancia, cargo para el que fue nombrado por Real Decreto 1005/2022, de 29 de noviembre (BOE de 30 de noviembre), en nombre y representación de la universidad, de acuerdo con las atribuciones que tiene conferidas, en virtud de lo establecido en el artículo 50 de la Ley Orgánica 2/2023, de 22 de marzo, del Sistema Universitario, y el artículo 99 de sus Estatutos aprobados por Real Decreto 1239/2011, de 8 de septiembre (BOE de 22 de septiembre).
De otra parte, don Jorge Vega Núñez, en su calidad de Director del Consorcio Universitario del Centro Asociado a la UNED en Ponferrada, cargo para el que fue nombrado por don Ricardo Mairal Usón, en virtud de las atribuciones que le confieren los artículos 99.1.i), y 134.1 de los Estatutos de esta Universidad, aprobados por el Real Decreto 1239/2011, de 8 de septiembre, y de conformidad con lo dispuesto en el artículo 23.2 del Reglamento de Organización y Funcionamiento del Centro Asociado de Ponferrada, aprobado en Consejo de Gobierno de la UNED de 9 de mayo de 2012, y el acuerdo de la Junta Rectora del Centro Asociado de Ponferrada de 16 abril de 2020.
MANIFIESTAN
Primero.
Que la Universidad Nacional de Educación a Distancia (en adelante UNED), es una entidad de Derecho Público dotada de personalidad jurídica propia y plena autonomía, sin más límites que los establecidos por la Ley, creada por el Real Decreto 2310/1972, de 18 de agosto, y regida por la Ley Orgánica 2/2023, de 22 de marzo, del Sistema Universitario, y por sus Estatutos, aprobados por Real Decreto 1239/2011, de 8 de septiembre.
Segundo.
Que la Universidad tiene entre sus finalidades la contribución al desarrollo de la ciencia y la cultura, así como el compromiso con la sociedad de apoyar el proceso de modernización y transformación digital, a través de la divulgación de la ciencia y la tecnología y la extensión universitaria.
Tercero.
El Consorcio Universitario del Centro Asociado UNED de Ponferrada M.P. (en adelante, el Consorcio), es una entidad de derecho público dotada de personalidad jurídica propia diferenciada y de la capacidad de obrar que se requiera para la realización de sus objetivos.
El Consorcio, conforme al artículo 1 de sus Estatutos, está constituido por la Diputación de León, el Ayuntamiento de Ponferrada, el Consejo Comarcal de El Bierzo y la UNED.
El Consorcio, según el artículo 4 de sus Estatutos y, de conformidad con lo dispuesto en el artículo 120 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en relación con el artículo 2.a) del Real Decreto 1317/1995, del 21 de julio, quedará adscrito a la UNED, y tiene por objeto el sostenimiento económico del Centro Asociado a la UNED en Ponferrada, como unidad de estructura académica de la UNED, a fin de servir de apoyo a la Enseñanza Superior y colaborar al desarrollo cultural del entorno.
Cuarto.
Que con fecha 1 de diciembre de 2022, el Instituto Nacional de Ciberseguridad de España (en adelante «INCIBE») publicó una invitación pública para la colaboración en la promoción de Cátedras de Ciberseguridad en España, destinada a apoyar la puesta en marcha de entidades académicas bajo la denominación de «Cátedras», en el ámbito de la ciberseguridad promovidos por universidades públicas o consorcios integrados por universidades públicas y privadas, con el objeto de promocionar el desarrollo de Cátedras que generen conocimiento y transferencia del mismo a la sociedad y la economía, en el ámbito de ciberseguridad.
Quinto.
Que, al amparo de dicha invitación pública, la Universidad e INCIBE firmaron en diciembre de 2023, un Convenio de Colaboración, para la ejecución de la Cátedra «Smart Rural IoT and Secured Environments», perteneciente a la promoción de Cátedras de Ciberseguridad en España dentro del Plan de Recuperación, Transformación y Resiliencia financiado por la Unión Europea-Next Generation EU. Se enmarca este convenio, en las actuaciones del Eje 2, del C15.I7, del Plan de Recuperación, Transformación y Resiliencia (en adelante «PRTR») cuyo objetivo incluye el «Impulso de la Industria», Pilar (2): «Apoyo por la I+D+i en Ciberseguridad como elemento transformador del país».
Sexto.
Que, para un correcto desarrollo de las actuaciones necesarias para la consecución de los hitos y objetivos comprometidos en dicho convenio, la UNED no dispone de los medios técnicos necesarios para ejecutar la totalidad de los trabajos contemplados en el mismo. Por ello, atendiendo a razones de eficacia y en consideración a la experiencia y a los adecuados medios técnicos y al personal especializado de que dispone el Consorcio en este ámbito, ambas entidades entienden necesario la formalización de una encomienda de gestión en los términos previstos en el artículo 11 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Por todo lo expuesto, las partes acuerdan suscribir el presente acuerdo de encomienda de gestión, que se regirá por las siguientes
CLÁUSULAS
Primera. Objeto de la encomienda.
La presente encomienda tiene por objeto la realización por el Consorcio de determinadas actuaciones de carácter material y técnico relacionadas con la organización y gestión de cursos de verano y jornadas de Talento Ciberseguridad e IoT, así como de actividades de difusión y soporte de las labores y eventos incluidos en el plan de trabajo de la Cátedra.
Segunda. Régimen Jurídico.
La presente encomienda se rige por lo establecido en el artículo 11 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La presente encomienda de gestión no supone cesión de la titularidad de la competencia ni de los elementos sustantivos de su ejercicio, siendo responsabilidad del órgano o Entidad encomendante dictar cuantos actos o resoluciones de carácter jurídico den soporte o en los que se integre la concreta actividad material objeto de encomienda.
En todo caso, el Centro Asociado de Ponferrada tendrá la condición de encargado del tratamiento de los datos de carácter personal a los que pudiera tener acceso en ejecución de la encomienda de gestión, siéndole de aplicación lo dispuesto en la normativa de protección de datos de carácter personal.
Asimismo, la presente encomienda se rige por los principios generales de colaboración y cooperación que deben presidir las actuaciones de las Administraciones Públicas, en orden a conseguir la mayor eficacia y la mejor utilización de los recursos de que dispone la UNED y los Consorcios.
Tercera. Adscripción de medios humanos y materiales.
El Consorcio deberá realizar los trabajos objeto de la presente encomienda de acuerdo con las prescripciones técnicas y el clausulado del presente documento, debiendo aplicar a la correcta realización de la encomienda, en los términos que en el mismo se fijan, todos los medios materiales y humanos que resulten necesarios para garantizar la calidad técnica de los trabajos que desarrolle y de las prestaciones y servicios que realice.
Cuarta. Actividades.
La gestión material y técnica de las actuaciones mencionadas en el punto anterior y que constituyen el objeto de la presente encomienda, se concretan en las siguientes actividades, con el alcance que en cada caso se señala:
1) Organización y gestión de las Jornadas de Talento Ciberseguridad e IoT en su primera y segunda edición, en particular:
– Gestión académica de las jornadas: inscripción, medios técnicos, control de asistencia, emisión de certificados para asistentes y ponentes.
– Gestión de los alojamientos, desplazamiento y manutención de los ponentes de las jornadas.
– Gestión de las retribuciones de los ponentes de las jornadas.
2) Organización y gestión del curso de verano en Ciberseguridad en entornos rurales, en particular:
– Gestión académica del curso: matricula, medios técnicos, control de asistencia, emisión de certificados para asistentes y ponentes.
– Gestión de los alojamientos, desplazamiento y manutención de los ponentes del curso.
– Gestión de las retribuciones de los ponentes de los cursos.
3) Organización y gestión de actividades de difusión y soporte de las labores y eventos incluidos en el plan de trabajo de la Cátedra, en particular:
– Apoyo en la difusión en medios de comunicación gráficos y online de las actividades de la Cátedra y en general en los avances en investigación en el ámbito de IoT y más concretamente en entornos rurales.
– Soporte en la gestión de actividades de colaboración de empresas privadas y universidad para la creación de sinergias entre este tipo de instituciones.
– Apoyo en la captación de personas con el talento necesario para trabajar en proyectos de transferencia e innovación y crear nichos de colaboración con universidades y centros tecnológicos.
4) Cualquier otro trámite relacionado con las actividades cuya gestión se encomienda, siempre que no suponga alteración de la titularidad de la competencia ni de los elementos sustantivos de su ejercicio.
Quinta. Duración.
La presente encomienda tendrá una duración desde la fecha de firma electrónica del presente documento hasta el 31 de diciembre de 2025.
Si el desarrollo de las actividades encomendadas lo requiere, el presente acuerdo podrá ser prorrogado o revocado, a propuesta de cualquiera de las partes, por acuerdo expreso de las mismas.
Sexta. Compensación económica.
La UNED compensará al Consorcio los gastos que haya soportado en la realización de esta encomienda, por un importe máximo de 50.000 euros, que se financiará con cargo a la aportación de INCIBE procedente de los Fondos Next Generation y se imputará a la aplicación presupuestaria 18CSFNG001 463A 227.
Séptima. Datos de carácter personal.
La entidad u órgano encomendado tendrá la condición de encargado del tratamiento de los datos de carácter personal a los que pudiera tener acceso en ejecución de la encomienda de gestión, siéndole de aplicación lo dispuesto en la normativa de protección de datos de carácter personal según lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Se adjunta como anexo II, las cláusulas que deberá tener en cuenta el Consorcio, como encargado del tratamiento, para tratar por cuenta del responsable, los datos de carácter personal a los que tenga acceso para prestar el servicio objeto de la presente encomienda.
Se establece como vía de comunicación para la colaboración entre el responsable y el encargado del tratamiento en relación con brechas de seguridad, ejercicios de derechos por los interesados, posibles auditorías o reclamaciones de la AEPD:
– Por parte del Consorcio:
Jorge Vega Núñez: director@ponferrada.uned.es.
– Por parte de la UNED:
Rafael Pastor Vargas: rpastor@scc.uned.es.
Octava. Financiación Plan de Recuperación, Transformación y Resiliencia.
Mediante la firma del presente acuerdo, el Consorcio se compromete al cumplimiento de la normativa comunitaria y nacional que pudiera resultar de aplicación, derivada de la financiación con fondos del Plan de Recuperación, Transformación y Resiliencia del objeto de la presente encomienda. En particular, aplicará medidas para evitar el fraude, la corrupción y los conflictos de intereses, a la hora de ejecutar la compensación prevista en el apartado quinto, y garantizará el pleno cumplimiento del principio de «no causar un perjuicio significativo al medio ambiente» (principio DNSH) y el etiquetado climático (sin contribución específica) y digital con una contribución del 100 % bajo la etiqueta 108, de acuerdo con lo previsto en el Plan de Recuperación, Transformación y Resiliencia, aprobado por Consejo de Ministros el 27 de abril de 2021 y por el Reglamento (UE) n.º 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021.
Novena. Resolución de controversias.
Las controversias que puedan surgir entre las partes se resolverán de manera amistosa y, en su defecto, las partes se someten a la jurisdicción contencioso-administrativa.
Décima. Resolución.
La presente encomienda de gestión podrá resolverse por cambio en las circunstancias que justifique la desaparición de la necesidad, sin perjuicio de garantizar la continuidad de aquellas actividades que se encontraran en ejecución en el momento de la resolución.
Decimoprimera. Extinción.
La presente encomienda de gestión se extinguirá por las siguientes causas:
a) Cumplimiento de su objeto.
b) Cumplimiento del plazo de vigencia.
c) Por la finalización anticipada de los recursos asignados.
d) Imposibilidad sobrevenida para su cumplimiento.
e) Mutuo acuerdo entre las partes.
f) Voluntad de una de ellas basada en el incumplimiento de la encomienda de gestión por la otra parte, debiendo notificarse por escrito dicha voluntad de resolución. En este caso deberán finalizar aquellas actividades que se encontrarán en fase de ejecución, sin perjuicio de la responsabilidad que pudiera ser exigida por los daños ocasionados.
Decimosegunda. Titularidad de la competencia.
La encomienda de gestión no supone cesión de la titularidad de las competencias ni de los elementos sustantivos de su ejercicio, atribuidas al Vicerrectorado de Investigación, Transferencia y Divulgación Científica.
Decimotercera. Responsabilidad de la UNED.
Es responsabilidad del Vicerrectorado de Investigación, Transferencia y Divulgación Científica dictar los actos o resoluciones de carácter jurídico que den soporte o en los que se integre la concreta actividad material objeto de la presente encomienda de gestión.
La unidad/persona encargada de comprobar la correcta ejecución de la encomienda corresponderá al Dr. Rafael Pastor Vargas.
Decimocuarta. Publicidad.
Este acuerdo de encomienda de gestión será objeto de publicación de acuerdo con lo dispuesto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, y en el artículo 11.3 b) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Madrid, a la fecha de la firma electrónica.–El Rector de la UNED.–El Director del Consorcio de Ponferrada.
ANEXO II
Memoria explicativa Acuerdo de encomienda de gestión al Consorcio Universitario del Centro Asociado a la UNED en Ponferrada M.P.
Contexto:
La Cátedra-Laboratorio de Análisis y Detección Ciber-amenazas para IoT en entornos Smart Rural (Smart Rural IoT and Secured Environments) centrará su actividad en las actividades de investigación y transferencia de conocimiento de técnicas avanzadas de análisis y detección de amenazas en entornos IoT, con especial énfasis en entornos rurales. Como la Cátedra se puede agrupar en torno a tres conceptos claves (ciberseguridad, IoT, Smart Rural) se proponen tres actores diferentes que complementan las acciones asociadas a dichos conceptos.
La Cátedra se presenta en un contexto de colaboración entre las tres instituciones participantes que se complementan en los aspectos de desarrollo del proyecto. La Universidad Nacional de Educación a Distancia (UNED) ejercerá el rol de entidad coordinadora y administradora. La participación de la Universidad Nova de Lisboa (NOVA) y el Consorcio Centro Asociado UNED en Ponferrada (León) será de entidades colaboradoras de la UNED. Por una parte, la UNED realizará la coordinación/dirección de la Cátedra, a través de la Escuela Técnica Superior de Ingeniería Informática de la UNED (https://www.uned.es/universidad/facultades/informatica/), y se centrará en las actividades de investigación/transferencia/difusión y formación más focalizada en el concepto de ciberseguridad aplicada en el ámbito de IoT. Por otra parte, la Universidade Nova de Lisboa (NOVA), a través del Instituto de Desenvolvimiento de Novas Tecnologías (centro dependiente de la Faculdade de Ciências e Tecnologia (FCT) de NOVA (https://novaresearch.unl.pt/en/organisations/uninova-instituto-de-desenvolvimento-de-novas-tecnologias) se focalizará en el ámbito de entornos seguros para IoT (laboratorios/señuelos) y la aplicación de las técnicas avanzadas para la detección de ciberamenazas mediante IA. Finalmente, y para complementar la fortaleza tecnológica del proyecto, se incorpora el Consorcio Centro Asociado UNED en Ponferrada (León), compuesto por el Ayuntamiento de Ponferrada, la Diputación de León, el Consejo Comarcal de El Bierzo y la propia UNED. El consorcio tiene entidad jurídica propia como entidad de derecho público y su participación consistirá en proporcionar recursos humanos, espacios e infraestructuras tecnológicas adicionales para el desarrollo de las diferentes actividades de la Cátedra, y más específicamente los eventos que se realizarán dentro del plan de trabajo de la Cátedra.
La puesta en común de la experiencia de las entidades participantes y la coordinación y administración de la UNED para la puesta en marcha de programas de formación, transferencia tecnológica y promoción de la ciberseguridad garantizan la viabilidad del proyecto a través de las actividades que se desarrollan en la presente memoria. El objetivo clave es que la Cátedra sea un polo de atracción de talento, tanto en investigación en el ámbito de la ciberseguridad como en la transferencia de resultados.
Teniendo en cuenta el contexto definido anteriormente, la propuesta tiene como objetivo general crear un laboratorio de redes IoT para la experimentación, investigación y transferencia del desarrollo de técnicas de análisis y detección de ciberamenazas en entornos rurales. Dentro de este objetivo general, se ha de enfatizar que la ubicación de la Cátedra estará asociada al Consorcio de Ponferrada. Esta decisión se toma con el objetivo de crear un nuevo Hub de investigación y transferencia en el ámbito de la España vaciada, con el apoyo de la UNED y NOVA, y proporcionar los recursos humanos asociados para potenciar el desarrollo del grupo de investigación en Ciberseguridad en IoT, dirigido desde la Cátedra internacional propuesta.
Por todos los motivos expuestos, se considera oportuno que el citado Consorcio Universitario de Centro Asociado UNED de Ponferrada lleve a cabo, por razones de eficacia, determinadas actuaciones relacionadas con la gestión de la Cátedra Smart rural IoT and Secured Environments, al amparo del convenio firmado en diciembre 2023 entre la Universidad Nacional de Educación a Distancia y la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., SA, para la promoción de la cultura de la ciberseguridad.
Las actividades asociadas a la encomienda de gestión a desarrollar por Consorcio de Ponferrada serán las que se detallan a continuación.
Jornadas Talento Ciberseguridad e IoT
Estas jornadas pretenden ser una referencia en la colaboración de empresas privadas y universidad para la creación de sinergias entre este tipo de instituciones. Los objetivos fundamentales son: presentar las últimas tendencias de aplicaciones y servicios asociados al desarrollo de entornos de securización de plataformas IoT; y el diseño de sistemas IA para tecnologías IoT en entornos rurales. Las jornadas permitirán a las empresas mostrar sus avances en esta área, y usar las jornadas como escaparate público para captar personas con el talento necesario para trabajar en proyectos de transferencia e innovación y crear nichos de colaboración con universidades y centros tecnológicos. Dentro de las jornadas se crearán varios tracks específicos de presentación de empresas, exposición de proyectos y área de networking.
El Consorcio UNED de Ponferrada llevará a cabo la organización y gestión de las Jornadas de Talento Ciberseguridad e IoT en su primera y segunda edición, que se lleven a cabo en cualquiera de las instalaciones del Centro Asociado de la UNED en Ponferrada. En particular:
Gestión académica de las jornadas: inscripción, medios técnicos, control de asistencia, emisión de certificados para asistentes y ponentes.
Gestión de los alojamientos, desplazamiento y manutención de los ponentes de las jornadas.
Gestión de las retribuciones de los ponentes de las jornadas.
Curso de verano Ciberseguridad en entornos rurales
Esta actividad permitirá crear un espacio de reflexión y presentación de tecnologías e investigación/innovación en la temática objetivo de la Cátedra. El formato del curso será de tres días con participación de la Cátedra, INCIBE, grupos de investigación de la temática de RENIC, empresas y administraciones públicas involucradas en el desarrollo de soluciones y regulación de específica de IA en entornos IoT rurales.
El Consorcio UNED de Ponferrada llevará a cabo la gestión y organización de cursos de verano de la Cátedra, que se lleven a cabo en cualquiera de las instalaciones del Centro Asociado a la UNED en Ponferrada. En particular:
Gestión académica del curso: matricula, medios técnicos, control de asistencia, emisión de certificados para asistentes y ponentes.
Gestión de los alojamientos, desplazamiento y manutención de los ponentes del curso.
Gestión de las retribuciones de los ponentes de los cursos.
Colaboración en actividades de difusión y Soporte de Actividades de la Cátedra a lo largo del periodo de duración de la misma
El Consorcio UNED de Ponferrada participará y dará soporte en las diferentes actividades de difusión que se desarrollarán dentro de la Cátedra. Específicamente llevará acabo las siguientes actividades con los correspondientes costes asignados a la realización de éstas:
Apoyo en la difusión en medios de comunicación gráficos y online de las actividades de la Cátedra y en general en los avances en investigación en el ámbito de IoT y más concretamente en entornos rurales.
Soporte en la gestión de actividades de colaboración de empresas privadas y universidad para la creación de sinergias entre este tipo de instituciones.
Apoyo en la captación de personas con el talento necesario para trabajar en proyectos de transferencia e innovación y crear nichos de colaboración con universidades y centros tecnológicos.
ANEXO III
Cláusulas relativas al encargo de tratamiento
Estipulaciones
Primera. Objeto del tratamiento.
Mediante las presentes cláusulas se habilita al Encargado del tratamiento, para tratar por cuenta del Responsable de tratamiento, los datos de carácter personal necesarios para prestar el siguiente servicio:
– Gestión material relacionado con la organización de cursos de verano y jornadas de Talento Ciberseguridad e IoT, así como con actividades de difusión y soporte de las labores y eventos incluidos en el plan de trabajo de la Cátedra.
En concreto, mediante la presente encomienda el Consorcio atenderá las siguientes gestiones técnicas y administrativas:
● Atención al estudiante y ponentes que participen en los cursos de verano y jornadas de Talento Ciberseguridad e IoT.
● Preparación de las convocatorias.
● Gestión de la matriculación, incluyendo:
○ La validación de solicitudes (requisitos de admisión, itinerarios, convalidaciones, coordinación con el equipo docente…).
○ Gestión de las devoluciones por anulación o por otros motivos.
○ Registro de documentación GEISER o documentación postal recibida.
○ Material para imprenta.
● Gestiones realizadas tras el período de matriculación:
○ Conformidad de matrícula (comprobación).
○ Gestión de pagos ponentes incluyendo: pago ponencia, gastos de locomoción y dietas.
○ Cierre de curso.
La naturaleza y finalidad que justifican el tratamiento de los datos de carácter personal por cuenta del responsable, son exclusivamente las que se indican en el anexo III.
Segunda. Devolución de los datos.
Una vez que finalice el presente acuerdo, el Encargado devolverá al Responsable o en su caso, destruirá, los datos de carácter personal y, si procede, los soportes donde consten, una vez acabada la prestación. El retorno ha de comportar el borrado total de los datos existentes en los sistemas y documentos del Encargado. No obstante, el Encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades por la ejecución de la prestación.
Tercera. Obligaciones del Encargado.
Legislación aplicable: el Encargado estará obligado a someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos.
Finalidad: el Encargado utilizará los datos personales sólo para la finalidad objeto de este tratamiento. En ningún caso podrá utilizar los datos para fines propios.
Declaración previa: La empresa adjudicataria tiene la obligación de presentar, antes de la formalización del contrato, una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Asimismo, estará obligado a comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración.
Subcontratación: los licitadores tendrán la obligación de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización.
El Encargado no podrá subcontratar, ni total ni parcialmente, ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales sin autorización previa y por escrito del Responsable.
Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este hecho se deberá comunicar previamente y por escrito al Responsable, con antelación suficiente, indicando los aspectos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación deberá ser autorizada por escrito por el Responsable, siempre antes de su inicio y deberá regirse con lo estipulado en el artículo 28.4.del RGPD.
Instrucciones del Responsable: El Encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable.
Transferencia internacional: Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará por escrito al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
Confidencialidad: El Encargado y todo su personal mantendrán el deber de secreto respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente encargo, incluso después de que finalice el mismo.
El Encargado garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia expresa de la naturaleza y extensión de esta obligación.
El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de esta obligación.
Medidas de seguridad: El Encargado con carácter periódico (y también siempre que haya cambios relevantes en su infraestructura de software y hardware) realizará una evaluación de riesgos en materia de seguridad de la información, de la que se derivarán la implantación de mecanismos adecuados a los riesgos detectados tal y como se describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un informe por el Encargado, que deberá proporcionarlo al Responsable. El alcance de dicha evaluación de riesgos de seguridad de la información será la totalidad de datos tratados por cuenta del Responsable. Las medidas de seguridad abarcarán la protección de los sistemas de información, así como de los sistemas de tratamiento manual y archivo de la documentación.
Registro de actividades de tratamiento: El Encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable con el contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en alguna de las excepciones del artículo 30.5.
No comunicación: el Encargado no comunicará los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable, en los supuestos legalmente admisibles.
Formación de las personas autorizadas: El Encargado garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
Ejercicio de los derechos: el Encargado asistirá al Responsable, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos).
Notificación de violaciones de la seguridad: el Encargado notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante consignada en el artículo 33.3. del RGPD.
Apoyo en realización de evaluaciones de impacto para la protección de datos: El Encargado dará apoyo al Responsable en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
Cumplimiento de las obligaciones: el Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él.
Delegado de protección de datos: El Encargado designará, si procede, un delegado de protección de datos y comunicará su identidad y datos de contacto al Responsable.
ANEXO IV
Finalidades que justifican el tratamiento de datos de carácter personal por parte del Encargado de tratamiento
1. Introducción.
El presente anexo forma parte del contrato de encargo de tratamiento suscrito entre las partes y detalla los aspectos y la identificación de la información afectada a los que accede o trata el Encargado de Tratamiento, la tipología de datos y las finalidades que justifican el tratamiento.
2. El tratamiento de datos personales incluirá los siguientes aspectos:
– Recogida.
– Modificación.
– Conservación.
– Extracción.
– Cotejo.
– Consulta.
– Registro.
3. Identificación de la información afectada.
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el Responsable del tratamiento autoriza al Encargado del tratamiento a tratar la información necesaria, lo que incluye las siguientes categorías de datos:
– Datos identificativos: [Nombre y apellidos, DNI, dirección, teléfono].
– Datos de naturaleza penal.
– Datos categorías especiales: [Afiliación sindical].
– Datos de características personales: [Datos de estado civil; edad; datos de familia; sexo; fecha de nacimiento; nacionalidad; lugar de nacimiento].
– Datos de circunstancias sociales: [asociaciones].
– Datos académicos y profesionales: [Formación; titulaciones; expediente académico; experiencia profesional; pertenencia a colegios o asociaciones profesionales].
– Datos detalle de empleo: [Cuerpo/escala; categoría/grado; puestos de trabajo; datos no económicos de nómina].
– Datos económico-financieros y de seguros: [Ingresos, rentas; inversiones, bienes patrimoniales; datos bancarios; planes de pensiones, jubilación; datos económicos de nómina; datos deducciones impositivas/impuestas; seguros; hipotecas; subsidios].
4. Finalidades que justifican el acceso o tratamiento por parte del Encargado.
El responsable del tratamiento autoriza al encargado de tratamiento a tratar información de carácter personal de su titularidad, única y exclusivamente, para:
a) Recepción de las solicitudes de matrícula presentadas por los estudiantes.
b) Revisión de la solicitud de matrícula del estudiante y de la documentación adicional, así como el requerimiento de subsanación en caso de documentación incompleta.
c) Apoyo administrativo para la elaboración de la propuesta provisional de admisión a los cursos, o de anulación de la solicitud y devolución, en su caso, de los ingresos indebidos.
d) Apoyo en la difusión en medios de comunicación gráficos y online.
e) Cualquier otro trámite relacionado con las actividades del proceso cuya gestión se encomienda, siempre que no suponga alteración de la titularidad de la competencia ni de los elementos sustantivos de su ejercicio.