Inscrita en el Registro General de Convenios, con el número 2019/5/0001, la modificación suscrita, con fecha 11 de diciembre de 2018, por la Directora Gerente del Instituto Aragonés de Empleo y el Presidente de la Cámara Oficial de Comercio, Industria y Servicios de Teruel y de conformidad con lo dispuesto en los artículos 32 de la Ley 1/2011, de 10 de febrero, de Convenios de la Comunidad Autónoma de Aragón y 13 del Decreto 57/2012, de 7 de marzo, del Gobierno de Aragón, por el que se regula el Registro General de Convenios de la Comunidad Autónoma de Aragón, he resuelto:

Ordenar la publicación de la citada modificación de la adenda que figura como anexo de esta Orden, en el "Boletín Oficial de Aragón".

Zaragoza

, 13 de febrero de 2019.

El Consejero de Presidencia, VICENTE GUILLÉN IZQUIERDO

ADENDA AL CONVENIO DE COLABORACIÓN ENTRE EL INSTITUTO ARAGONÉS DE EMPLEO Y LA CÁMARA OFICIAL DE COMERCIO, INDUSTRIA Y SERVICIOS DE TERUEL, SUSCRITO EL 6 DE ABRIL DE 2015, PARA LA PRESTACIÓN DE SERVICIOS A EMPRENDEDORES Y EMPRESAS EN MATERIA DE PROMOCIÓN DEL EMPLEO Y FOMENTO DEL ESPÍRITU EMPRENDEDOR

En Zaragoza, a 11 de diciembre de 2018.

De una parte, Doña Ana Vázquez Beltrán, Directora Gerente del Instituto Aragonés de Empleo, nombrada por Decreto 231/2015, de 1 de septiembre, del Gobierno de Aragón ("Boletín Oficial de Aragón", número 170, de 2 de septiembre), en nombre y representación del Gobierno de Aragón, facultada para este acto por Acuerdo del Gobierno de Aragón, de fecha 3 de diciembre de 2018.

De otra parte, D. Antonio Santa Isabel Llanos, con D.N.I. número ****1093 L, Presidente de la Cámara Oficial de Comercio, Industria y Servicios de Teruel, en nombre y representación de dicha entidad,

Reconociéndose ellos, que intervienen en función de sus respectivos cargos y en el ejercicio de las facultades que tienen conferidas para convenir en nombre y representación de las Instituciones que representan,

1. Que con fecha 6 de abril de 2015, el Instituto Aragonés de Empleo (en adelante INAEM) y la Cámara Oficial de Comercio, Industria y Servicios de Teruel (en adelante Cámara), firmaron un convenio de colaboración para la consecución de fines de interés público en materia de empleo y apoyo a las empresas aragonesas, prioritariamente PYMES, en el asesoramiento para la consolidación y mantenimiento del empleo y fomento del espíritu emprendedor a través del autoempleo.

2. Mediante Orden PRE/1119/2018, de 12 de junio, se dispuso la publicación de la Adenda para el ejercicio 2018 al convenio de colaboración entre el Instituto Aragonés de Empleo y la Cámara Oficial de Comercio, Industria y Servicios de Teruel, suscrito el 6 de abril de 2015, para la prestación de servicios a emprendedores y empresas en materia de promoción del empleo y fomento del espíritu emprendedor. Su objetivo primordial es la consecución del cumplimiento de fines de interés público en materia empleo y apoyo a las empresas aragonesas, prioritariamente PYMES, en el asesoramiento para la consolidación y mantenimiento del empleo y fomento del espíritu emprendedor a través del autoempleo.

3. Entre las actuaciones a realizar por la Cámara Oficial de Comercio, Industria y Servicios de Teruel en el ejercicio 2018 que se concretan en la cláusula segunda de la citada adenda se determina la Elaboración de un estudio del impacto de las subvenciones de autoempleo en la provincia. Se trata de realizar un estudio cuantitativo y cualitativo de la evolución de los proyectos de autoempleo subvencionados por el INAEM, una vez transcurridos los dos años de exigencia de mantenimiento del empleo, a través de encuestas y entrevistas dirigidas a averiguar el impacto y la utilidad de las subvenciones.

Para poder llevar a cabo esta actuación, el Servicio de Promoción de Empleo del INAEM aportará los listados necesarios con los datos de los beneficiarios de los citados programas, así como las plantillas de datos a cumplimentar por la Cámara Oficial de Comercio, Industria y Servicios de Teruel, teniendo esta entidad el carácter, a efectos de la normativa de protección de datos, de encargado del tratamiento.

4. Conforme al artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Así pues, se debe introducir dentro de la Adenda al convenio un acuerdo de encargo de tratamiento de datos entre las partes firmantes.

De conformidad con todo lo anterior las partes firmantes:

Única.-

Se añade una cláusula Séptima "Tratamiento de datos", que queda redactada en los siguientes términos:

"En cumplimiento del artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), se establecerá la relación entre el INAEM y la Cámara Oficial de Comercio, Industria y Servicios de Zaragoza como encargado de tratamiento de datos conforme al acuerdo de encargo de tratamiento contenido en el anexo II a esta Adenda".

Y en prueba de conformidad de cuanto antecede, firman la presente adenda por cuadruplicado, en el lugar y fecha reseñados en el encabezamiento, rubricando cada una de las páginas de que consta.

II

ACUERDO DE ENCARGO DE TRATAMIENTO DE DATOS

En Zaragoza, a 11 de diciembre de 2018.

De una parte, Dña. Ana Vázquez Beltrán, Directora Gerente del Instituto Aragonés de Empleo, nombrada por Decreto 231/2015, de 1 de septiembre, del Gobierno de Aragón, ("Boletín Oficial de Aragón", número 170, de 2 de septiembre), en nombre y representación del Instituto Aragonés de Empleo,

De otra parte, D. Antonio Santa Isabel Llanos, con D.N.I. ****1093 L, Presidente de la Cámara Oficial de Comercio, Industria y Servicios de Teruel, en nombre y representación de dicha entidad,

Que, en el marco de las actuaciones a realizar por la Cámara, en la Adenda 2018 al convenio de colaboración con el Instituto Aragonés de Empleo (en adelante INAEM) suscrito el 6 de abril de 2015, entre el INAEM y la Cámara, para la prestación de servicios a emprendedores y empresas en materia de promoción del empleo y fomento del espíritu emprendedor, se le proporcionará acceso a datos de carácter personal de cuyo tratamiento es responsable el INAEM, por lo que la Cámara Oficial de Comercio, Industria y Servicios de Teruel, tendrá la consideración de encargado del tratamiento. En este caso, el acceso a estos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 28 del RGPD. Ello conlleva que el centro/entidad colaboradora actúe en calidad de Encargado del Tratamiento y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, tratando y protegiendo debidamente los datos de carácter personal. INAEM siempre será responsable del tratamiento, es decir, quien decide sobre las finalidades del mismo.

La actividad de tratamiento de datos se realizará de acuerdo con lo siguiente:

1. Objeto del encargo del tratamiento.

Habilitar a la entidad colaboradora Cámara Oficial de Comercio, Industria y Servicios de Teruel, en adelante, encargado del tratamiento, para tratar por cuenta de INAEM, en adelante, responsable del tratamiento, los datos de carácter personal necesarios para prestar las actuaciones previstas en el la Adenda 2018 al convenio de colaboración con el Instituto Aragonés de Empleo (en adelante INAEM) suscrito el 6 de abril de 2015, entre el INAEM y la Cámara, para la prestación de servicios a emprendedores y empresas en materia de promoción del empleo y fomento del espíritu emprendedor.

El tratamiento consistirá en la prestación de este servicio:

- Elaboración de un estudio de impacto de las subvenciones de autoempleo en la provincia.

Los tratamientos de datos personales a realizar por el encargado de tratamiento para la prestación del servicio serán los de:

Recogida.

Registro.

Estructuración.

Modificación.

Conservación.

Extracción.

Consulta.

Comunicación por transmisión.

Interconexión.

Comunicación.

Supresión.

2. Identificación de la información afectada.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento, pone a disposición del encargado del tratamiento, la información que se describe a continuación:

- Datos de los beneficiarios de los programas del INAEM que subvencionan proyectos de autoempleo.

3. Duración.

El presente acuerdo tiene la misma duración que la vigencia de la adenda 2018 al convenio de colaboración con el Instituto Aragonés de Empleo, entre el INAEM y la Cámara que determina la prestación del servicio entre responsables y encargado de tratamiento para la elaboración de un estudio de impacto de las subvenciones de autoempleo en la provincia, fijando el fin de la misma el 28 de febrero de 2019.

Una vez finalice la ejecución del servicio, y el plazo legal de conservación de la documentación, el encargado del tratamiento debe:

- Suprimir los datos personales y suprimir cualquier copia que esté en su poder.

4. Obligaciones del encargado del tratamiento.

El encargado del tratamiento y todo su personal se obliga a:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

a) La seudoanimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

e) Subcontratación: No subcontratar ninguna de las prestaciones que formen parte del objeto de este acuerdo que comporten el tratamiento de datos personales.

f) Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

g) Garantizar que sus empleados, así como las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que debe informarles convenientemente.

h) Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i) Garantizar la formación necesaria en materia de protección de datos personales de sus empleados y de las personas autorizadas para tratar datos personales.

j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección: protecciondatos.inaem@aragon.es.

La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud (plazo y medio recomendado a fin de que el responsable pueda resolver la solicitud dentro del plazo establecido), juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k) Derecho de información

Corresponde al responsable, en el momento de la recogida de los datos, facilitar la información relativa a los tratamientos de datos que se van a realizar.

l) Notificación de violaciones de la seguridad de los datos.

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas a través de una comunicación electrónica a través de las direcciones

cas"mailto:protecciondatos.inaem@aragon.es"protecciondatos.inaem@aragon.es y "mailto:sat.inaem@aragon.es"sat.inaem@aragon.es, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

2. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

4. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:

1. Explicar la naturaleza de la violación de datos.

2. Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

m) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

n) Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

o) Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

p) Implantar las medidas de seguridad siguientes:

Las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el alcance, contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, que en su caso incluya, entre otros:

- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

- Seudonimizar y cifrar los datos personales.

Se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

q) Designar, en su caso, un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.

r) Destino de los datos

- Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento.

- No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

5. Obligaciones del responsable del tratamiento.

Corresponde al responsable del tratamiento:

a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.

b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.

c) Realizar las consultas previas que corresponda.

d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

6. Responsabilidades.

Responsable y encargado de tratamientos están sujetos al régimen sancionador establecido en el RGPD y en la Ley Orgánica de protección de datos en vigor.