En cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de Derechos Digitales y demás normativa de desarrollo, el manejo de los datos de carácter personal que se derive del presente convenio queda sujeto a lo dispuesto a lo establecido en la normativa legal vigente:

a)    Ambas partes actuarán como co-responsables del tratamiento de los datos personales, los cuales utilizarán o aplicarán única y exclusivamente conforme a las finalidades e instrucciones derivadas de este convenio, y no los comunicarán o cederán a otras personas, ni siquiera para su conservación. En virtud de ello, ambas partes se abstendrán de enviar cualquier comunicación de índole comercial o con fines publicitarios, con la intención de obtener beneficios de cualquier tipo que no sean objeto del presente convenio.
b)    Las partes llevarán, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas en virtud del presente y conforme a lo dispuesto en el RGPD.
c)    Las partes mantendrán el deber secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente Convenio, incluso después de que finalice su objeto.
d)    Las partes garantizarán que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la Confidencialidad y a cumplir las Medidas de Seguridad correspondientes, de las que hay que informarles convenientemente.
e)    Las partes mantendrán a disposición de la otra Parte la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
f)    Las partes garantizarán la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
g)    Las partes asistirán a la otra Parte en la atención al ejercicio de los derechos de:
1.    Acceso, rectificación, supresión y oposición
2.    Limitación del tratamiento
3.    Portabilidad de datos
4.    A no ser objeto de decisiones individualizadas automatizadas

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas ante la Parte no responsable, ésta deberá comunicarlo por correo electrónico a la Parte responsable. La comunicación deberá realizarse de forma inmediata y, en ningún caso, más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

h)    Derecho de información. Corresponde a cada parte facilitar al titular de los datos el derecho de información relativo a los tratamientos de los datos personales en el momento de la recogida de los datos, así como la obtención del debido consentimiento en los supuestos y con los requerimientos legalmente previstos.
i)    Las partes implantarán las correspondientes medidas de seguridad en base al correspondiente análisis de riesgos realizado.

Las Partes se comprometen a realizar el debido análisis de riesgos relativo al tratamiento de datos personales en su condición de responsables del tratamiento.
En base a ello, las Partes aplicarán las correspondientes medidas de seguridad y, en cualquier caso, deberán implantar mecanismos para:

1.    Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
2.    Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
3.    Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
4.    Seudonimizar y cifrar los datos personales, en su caso.

j)    Las partes designarán, en su caso, un/a DELEGADO/A DE PROTECCIÓN DE DATOS y comunicarán sus datos de contacto a la otra parte.
k)    Las partes realizarán, en su caso, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento.
l)    Las partes realizarán las consultas previas que corresponda.
m)    Las partes supervisarán el tratamiento.
n)    Los datos personales tratados en virtud del presente convenio únicamente se conservarán mientras que se mantenga la relación contractual establecida, no se solicite su supresión por el interesado y no deban eliminarse por ser necesarios para el cumplimiento de una obligación legal, para la formulación, ejercicio y/o defensa de reclamaciones.

En el supuesto de que el interesado ejercite el derecho de supresión, sus datos personales se conservarán bloqueados durante los plazos establecidos legalmente para atender a las posibles responsabilidades nacidas del tratamiento de los mismos.

El incumplimiento de cualquiera de los acuerdos anteriores será causa suficiente para la rescisión del presente convenio de conformidad con la cláusula cuarta, sin perjuicio de las responsabilidades de cualquier clase en que se puedan incurrir por tal incumplimiento.