Hacemos referencia al contrato de Prestación de Servicios suscrito entre usted y BP (Contrato). El Contrato obliga a ambas partes a respetar las leyes relativas al cumplimiento de las obligaciones derivadas del mismo. Nos ponemos en contacto con usted acerca del Reglamento (detallado a continuación) y los cambios necesarios que implica para el Contrato.

Con el fin de proporcionar contexto, el 25 de mayo de 2017 entrará en vigor el Reglamento General de Protección de Datos (UE) 2016/679 (el «RGPD» o el «Reglamento») que impondrá nuevas obligaciones a las entidades que controlan Datos personales («Responsables del tratamiento») y entidades que tratan los Datos personales («Encargados del tratamiento»). Salvo que se establezca de otro modo, las definiciones de la presente cláusula se extraen del RGPD.

1. En particular el artículo 28 del Reglamento establece que determinados requisitos que deben cumplirse cuando se nombra a un Encargado del tratamiento y prescribe una serie de disposiciones que deben incluirse en un contrato escrito entre el Responsable del tratamiento y el Encargado del tratamiento.
2. En consecuencia, con el fin de cumplir el RGPD, las disposiciones del Anexo 1 del presente escrito se considerarán automáticamente incorporadas al presente Contrato como un nuevo Anexo del Contrato. Cualesquiera cláusulas o disposiciones del Contrato que contravengan el nuevo Anexo del Contrato serán reemplazadas automáticamente. En la próxima ocasión (por ejemplo, al revisar o renovar el contrato) presentaremos brevemente los cambios anteriores en un formato formalizado.

Sin perjuicio de si se reconoce o no, salvo que recibamos una objeción formal previa de su parte, estos cambios se considerarán incorporados al Contrato catorce (14) días después de la fecha de este escrito y las condiciones del nuevo Anexo del Contrato entrarán en vigor después de la expiración del período de catorce (14) días.

Salvo lo especificado en el presente escrito, el Contrato continuará en vigor y con plenos efectos.

A los efectos de registro, agradeceríamos que firmara y devolviera la copia adjunta de este escrito para acusar recibo y aceptación.

Atentamente,

..........................

Por la presente reconocemos y aceptamos debidamente las cuestiones planteadas en este escrito.

en nombre y representación de (CLIENTE)                                                                                                                                                             

(Firma)

(Nombre)

(Cargo)                                                                                                                                                                                                                                                          

(Fecha)

ANEXO 1

Anexo de protección de datos

1. A los efectos del presente Anexo se entenderá por:

1.1 «responsable del tratamiento»: la persona que, sola o junto con otros, determine los fines y medios del tratamiento de datos personales;

1.2 «encargado del tratamiento»: la persona que trate los datos personales por cuenta del responsable del tratamiento;

1.3 «cifrado»: el proceso de convertir la información a una forma ininteligible, excepto para los titulares de una clave de encriptación específica;

1.4 «datos personales»: toda información sobre una persona física identificada o identificable que sea tratada por el Proveedor como resultado de o en relación con la prestación de bienes y servicios, según proceda; una persona física identificable es toda persona que puede ser identificada, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física; y

1.5 «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

2. El Proveedor reconoce que la entidad BP contratante o relevante («BP») es el responsable del tratamiento con respecto a los datos personales que el Proveedor trate por cuenta de BP durante el transcurso de la prestación de los Servicios y que el Proveedor es un encargado del tratamiento de dichos datos.
3. El Proveedor acuerda que será su obligación (y se encargará de que así lo sea para cada una de sus filiales y subcontratistas) lo siguiente:

3.1 Realizar únicamente el tratamiento de datos personales de conformidad con las instrucciones de BP (que pueden ser instrucciones específicas o instrucciones de carácter general según lo establecido en el presente Contrato o notificadas de otro modo por BP al Proveedor durante la vigencia del presente Contrato), salvo que así lo requiera la legislación de la Unión Europea o del Estado miembro (en cuyo caso, el Proveedor informará a BP de dicho requisito legal antes del tratamiento, a menos que dicha ley prohíba informar a BP por razones importantes de interés público).

3.2 Aplicar las medidas técnicas y organizativas adecuadas para protegerlos del acceso accidental, no autorizado o ilícito, o del tratamiento, la destrucción, la pérdida, la modificación, el deterioro o la comunicación de datos personales (estas medidas incluirán, entre otras, el despliegue de soluciones de cifrado adecuadas para proteger los datos personales).

3.3 Garantizar que las medidas técnicas y organizativas sean adecuadas al daño que pueda derivarse de un tratamiento no autorizado o ilícito y de la pérdida, destrucción o deterioro accidentales de los datos personales, y teniendo en cuenta la naturaleza de los datos personales que deban protegerse.

3.4 Garantizar la fiabilidad de los empleados que tengan acceso a los datos personales y que todos los empleados que intervengan en el tratamiento de datos personales estén sujetos a una obligación adecuada de confidencialidad y hayan recibido la formación oportuna en materia de cuidado, protección y tratamiento de datos personales.

3.5 Salvo que esté prohibido por ley, remitir de inmediato a BP cualquier consulta relacionada con los datos personales de personas, de cualquier autoridad de protección de datos, de cualquier autoridad encargada de la aplicación de la ley o de cualquier juzgado, tribunal, autoridad reguladora u organismo gubernamental para que BP la resuelva.

3.6 Sin coste adicional, tomar las medidas técnicas y organizativas que sean oportunas, y proporcionar dicha información con diligencia a BP si así lo solicita razonablemente, para permitir a BP cumplir (i) los derechos de las personas en virtud de las leyes de protección de datos aplicables, incluyendo los derechos de acceso de los interesados, los derechos de rectificación y eliminación de datos personales, de oposición al tratamiento y tratamiento automatizado de datos personales, y de restricción del tratamiento de datos personales; y (ii) los avisos de información o notificaciones de evaluación por cualquier autoridad de protección de datos.

3.7 Notificar a BP, sin demora indebida, el tratamiento no autorizado o ilícito, o la pérdida, destrucción, daño, modificación o comunicación accidental de datos personales (cada uno de ellos un «incidente de seguridad») y, en relación con cada incidente de seguridad y presunto incidente de seguridad, investigar de inmediato el incidente de seguridad, proporcionar a BP información detallada sobre el incidente de seguridad y tomar medidas razonables e inmediatas para mitigar los efectos y minimizar los daños resultantes del incidente de seguridad.

3.8 No tratar ni permitir el tratamiento de datos personales fuera del Espacio Económico Europeo salvo con el previo consentimiento escrito de BP y, en caso de que se conceda dicho consentimiento, el Proveedor se comprometerá a celebrar un contrato adecuado con BP y/o las partes pertinentes y/o a adoptar todas las medidas necesarias para garantizar un nivel adecuado de protección con respecto a los derechos de protección de datos de los interesados.

3.9 Iniciar un proceso para comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas destinadas a garantizar la seguridad del tratamiento de datos personales.

3.10 Sin coste adicional, ayudar a BP a cumplir con su obligación, si procede, de llevar a cabo una evaluación del impacto sobre la protección de datos.

3.11 Mantener un registro de todas las categorías de actividades de tratamiento llevadas a cabo por cuenta de BP, que se pondrá a disposición de BP cuando así se solicite.

3.12 A petición razonable de BP, el Proveedor aceptará (i) permitir e intervenir en las auditorías, incluidas las inspecciones; y (ii) someter sus instalaciones de tratamiento de datos, archivos de datos y documentación necesaria para el tratamiento de datos personales y demás información necesaria (y/o las de sus agentes, filiales y subcontratistas) a revisión, auditoría y/o certificación, por parte de BP (o por parte de cualesquiera agentes de inspección o auditores independientes o imparciales, elegidos por BP y respecto a los que el Proveedor no haya presentado objeciones razonablemente) para demostrar el cumplimiento de sus obligaciones derivadas de este Anexo, con previa notificación razonable y durante el horario laboral habitual.

4. Si alguna parte de los datos personales deja de ser requerida por el Proveedor para el cumplimiento de sus obligaciones derivadas del presente Contrato, o en el momento de la terminación o del vencimiento del Contrato (lo que ocurra primero), el Proveedor, a elección expresa de BP (pero no de otro modo), devolverá a BP todos los datos personales que haya obtenido o recogido al prestar los Servicios en virtud del presente Contrato, o eliminará o destruirá todas las copias de los datos personales que obren en su poder, o controlará y certificará a BP que así lo ha hecho, salvo que la legislación aplicable al Proveedor impida la devolución o destrucción total o parcial de los datos personales. En ese caso, el Proveedor seguirá garantizando la confidencialidad de los datos personales que obren en su poder y dejará de tratarlos activamente.
5. El Proveedor únicamente podrá subcontratar o externalizar el tratamiento de datos personales conforme a este Contrato a cualquier otra persona o entidad («Subcontratista») si el Proveedor:

5.1 Ha notificado razonablemente a BP con suficiente antelación de la identidad y ubicación del Subcontratista, así como ha proporcionado una descripción del tratamiento que se pretende subcontratar o externalizar al Subcontratista para que BP pueda cumplir las leyes de protección de datos aplicables, y evaluar cualquier riesgo potencial para los datos personales.

5.2 Sigue siendo plenamente responsable ante BP del cumplimiento del presente Contrato por parte del Subcontratista, así como de cualquier acto u omisión del Subcontratista con respecto a su tratamiento de los datos personales.

5.3 Ha recibido el previo consentimiento escrito de BP para la subcontratación o externalización.

5.4 Ha impuesto legalmente al Subcontratista términos y condiciones contractuales legalmente vinculantes prácticamente iguales a los que figuran en este Anexo («Contrato de Subcontratista»).

6. BP podrá requerir por escrito al Proveedor que cese o suspenda la subcontratación o externalización del tratamiento de datos personales al Subcontratista si, en la razonable opinión de BP, el Subcontratista no puede cumplir las condiciones del Contrato de Subcontratista.
7. La duración del tratamiento de datos personales corresponderá a la vigencia del presente Contrato, salvo en la medida en que la legislación de la Unión Europea o de un Estado miembro exija de otro modo el tratamiento de dichos datos personales.
8. La naturaleza y finalidad del tratamiento de datos personales por parte del Proveedor cuando este actúe como Encargado del tratamiento, incluyendo las categorías de interesados y los tipos de datos personales que serán tratados, se establecen en el presente Contrato, en concreto en el Apéndice 1.
9. Las Partes acordarán modificar el presente Anexo en la medida necesaria para permitirles cumplir las disposiciones del Reglamento general de Protección de Datos de la UE (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016).

APÉNDICE 1 A LAS CLÁUSULAS BÁSICAS

A) General - objeto del tratamiento:

El contexto del tratamiento de datos personales de BP es la realización de la siguiente tarea en nombre de BP:

Gestión del Programa de fidelización anteriormente denominado “BPpremierplus”, en adelante “MiBP”.

B) Naturaleza y objeto del tratamiento:

Ofrecer un programa de descuentos y ventajas en establecimientos asociados bien vía online o in situ.

C) Ámbito de aplicación de los datos personales:

Podrán utilizarse los siguientes tipos o categorías de datos personales:

• Mail
• Nº Usuario
• Nombre
• Número de tarjeta de BP

D) Personas afectadas (es decir, los interesados):

El grupo de interesados afectados por el tratamiento de sus datos personales son los clientes de la “Tarjeta MiBP”.