Condiciones de confidencialidad y privacidad para servicios de formación con tramitación de bonificaciones de la FUNDAE - Ingecal - Consultoria y Formación de Sistemas de Gestión.

Versión: 1.1

Fecha entrada en vigor: 1-1-2021

Las Condiciones de Confidencialidad y Protección de Datos Personales (las Condiciones) recogidas en este documento aplican a los servicios contratados resultado de la aceptación de una oferta o propuesta de servicios de formación con adhesión a un contrato de encargo de organización de la formación para la tramitación de las bonificaciones gestionadas por la FUNDAE.

Las condiciones aplicables serán las vigentes en el momento del envío de la oferta o propuesta. Sin embargo, INGECAL se reserva el derecho a hacer cambios en estas condiciones, que serán comunicados con antelación suficiente a los interesados. Los cambios se harían efectivos automáticamente a partir de las fechas de entrada en vigor que se indiquen. En caso de que no desee aceptarlos, podrá notificar antes de la fecha de entrada en vigor para cancelar los servicios contratados.

POLÍTICA DE PRIVACIDAD

La aceptación de la oferta o propuesta de servicios implica que ambas partes se autorizan mutuamente a incorporar sus datos personales de contratación, junto con los que se obtengan durante la vigencia del mismo, a un tratamiento bajo su responsabilidad respectiva.

En el caso de que alguna de las partes haya proporcionado datos de carácter personal de terceras personas, el firmante de la parte respectiva garantiza que los ha recabado lícitamente y que ha suministrado a los interesados la información necesaria sobre el tratamiento de sus datos. Asimismo, los firmantes aceptan que cada una de las partes es la responsable de solicitar el consentimiento de los interesados para la cesión y tratamiento de sus datos de carácter personal por cuenta la otra parte.

Las finalidades del tratamiento son:

Llevar a cabo la gestión de la relación contractual y la prestación de los servicios que se derivan. Legitimada porque es un tratamiento necesario para la ejecución de un contrato en el que los interesados son parte.
Realizar la gestión de la inscripción, coordinación y seguimiento de la asistencia de los participantes a la actividad formativa contratada. Legitimada por Interés legítimo de INGECAL para ejecutar el servicio contratado.
Realizar la tramitación de las bonificaciones gestionadas por la Fundación Estatal para la Formación en el Empleo (FUNDAE). Legitimada para el desarrollo de la adhesión al contrato de encargo de organización de la formación (IMP-303) suscrito entre empresas al amparo de los artículos 9.3 y 12.1 de la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral y del artículo 14.3 del Real Decreto 694/2017, de 3 de julio, que desarrolla la ley mencionada. Este encargo de tratamiento se realiza en el marco de las obligaciones y garantías estipuladas en el apartado “ENCARGO DE TRATAMIENTO DE DATOS PERSONALES” de estas Condiciones.

Los datos podrán ser comunicados a colaboradores necesarios en los que delegamos parte de la prestación de los servicios contratados y otras empresas que nos prestan servicios relacionados con la actividad ordinaria y administrativa de la empresa en calidad de encargados de tratamiento, nacionales o internacionales como, entre otros, proveedores de servicios de correo electrónico, alojamiento de servicios web, alojamiento de servidores, servicios de aplicaciones de gestión en modalidad SaaS, archivo de ficheros en la nube y otros.

La prestación de estos servicios puede implicar el tratamiento de los datos personales por parte de empresas ubicadas en países fuera del Espacio Económico Europeo (transferencias internacionales de datos). Sin embargo, sólo se realizará con países que ofrecen un nivel adecuado de protección o que hayan puesto a nuestra disposición Cláusulas Contractuales Tipo (Standard Contractual Clauses – SCC) de acuerdo con la decisión de la Comisión Europea para transferencias de datos desde responsables en la UE a encargados establecidos fuera de la UE.

También, los datos proporcionados pueden ser comunicados a terceros y organismos oficiales competentes en los términos exigidos por la legislación y normativa vigente con el fin de posibilitar la prestación de los servicios contratados.

Los datos recogidos se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se han recogido, mantener el registro de clientes de INGECAL y para determinar las posibles responsabilidades que se puedan derivar de esta finalidad y del tratamiento de los datos.

En cualquier momento el interesado puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos personales, así como los de oposición y limitación de su tratamiento.

Estos derechos podrán ser ejercidos gratuitamente por el interesado, y en su caso por quien lo represente, mediante solicitud escrita y firmada, acompañada de copia de su DNI o documento equivalente que acredite su identidad, dirigida a

Por correo electrónico: ingecal@ingecal.cat
Por correo postal: Av. Cerdanyola 98, esc B, 4º, oficina 18 – Edif. Collserola, 08173 Sant Cugat de Vallès (Barcelona)

En el caso de representación, deberá probarse mediante documento escrito y adjuntando copia del DNI o documento equivalente que acredite su representación.

Además de los anteriores derechos, el interesado tendrá derecho a retirar el consentimiento otorgado en cualquier momento mediante el procedimiento antes descrito, sin que esta retirada de consentimiento afecte a la licitud del tratamiento anterior a la retirada del mismo. INGECAL podrá continuar tratando los datos personales del interesado en la medida en que la ley aplicable lo permita o persista cualquier otra legitimización que lo justifique.

INGECAL recuerda al interesado que tiene derecho a presentar una reclamación ante la autoridad de control pertinente (Agencia Española de Protección de Datos).

CONFIDENCIALIDAD DE LA INFORMACIÓN

Se considerará información confidencial, cualquier información (comercial, técnica, clínica u otra) de la empresa cliente, sobre sus asuntos comerciales, tecnología, procesos, productos, planos, instalaciones y dependencias, que antes de ser recibidos por una de las dos partes no eran de su conocimiento o estaban en su poder sin obligación de confidencialidad. No se considera información confidencial aquella que tenga un acceso público a las páginas web de los clientes, proveedores o empleados.

Se hace constar expresamente el carácter confidencial de la información que podría llegar a su conocimiento durante el desarrollo de la formación, ya sean consultas, talleres prácticos, exposición de casos, etc..

INGECAL se obliga a tratar toda la información a la que tenga acceso o que reciba de sus clientes como confidencial y a utilizarla únicamente para cumplir sus obligaciones de acuerdo al servicio contratado.

En particular, INGECAL se compromete a mantener el secreto y garantizar la confidencialidad y seguridad respecto a los datos a los que pueda tener acceso por razones de prestación del servicio contratado. No podrá hacer uso de la información confidencial a la que tenga acceso para finalidades diferentes a las determinadas por la propuesta de servicios, quedando expresamente prohibida la comunicación o transferencia de información confidencial.

Esta obligación de confidencialidad no es aplicable (a) cuando la parte divulgadora haya otorgado previamente su consentimiento por escrito; (b) a las divulgaciones que nosotros realizamos a nuestros subcontratistas, consultores externos en los que delegamos parte de la ejecución de los servicios, o a nuestros auditores y asesores profesionales; (c) a las divulgaciones que deban realizarse con el fin de cumplir con obligaciones de naturaleza legal o reglamentaria; (d) a la información que haya sido generada de forma independiente por la parte receptora; o (e) cuando la parte divulgadora obtenga la información sin que exista incumplimiento alguno de esta obligación de confidencialidad.

En caso de que fuera necesario comunicar información confidencial a un tercero por motivos justificados de la prestación del servicio, INGECAL garantiza que el receptor asumirá una obligación de confidencialidad al menos tan estricta como la prevista en las disposiciones de esta cláusula.

La obligación de mantener la confidencialidad permanecerá vigente tras la resolución o expiración del contrato de servicio.

ENCARGO DE TRATAMIENTO DE DATOS PERSONALES

La prestación del servicio de formación contratado puede conllevar la necesidad de acceder a datos personales de los que es responsable el cliente siempre que exista una adhesión al contrato de encargo de organización de la formación suscrito entre empresas (IMP-303) al amparo de los artículos 9.3 y 12.1 de la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral y del artículo 14.3 del Real Decreto 694/2017, de 3 de julio, que desarrolla la ley mencionada.

Dado el caso, INGECAL manifiesta que:

El cliente es el RESPONSABLE DE LOS TRATAMIENTOS de datos personales que pone a disposición de INGECAL como ENCARGADO DE TRATAMIENTO en virtud del contrato de servicio que los vincula. Este acceso no es considerado comunicación de datos.
Mediante las presentes cláusulas el responsable del tratamiento facilita y delega las funciones necesarias para que INGECAL pueda tratar los datos de carácter personal necesarios para llevar a cabo la organización de la formación en los términos establecidos por las legislación de referencia.
Que, para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone disposición de INGECAL los datos personales relativos al personal de su empresa.
Que para llevar a cabo estos tratamientos, automatizados o no, el responsable del tratamiento requiere por parte de INGECAL, como encargado de tratamiento, que realice actividades relativas a la recogida, conservación, consulta y acceso, modificación, supresión o destrucción y limitación de tratamiento de los datos.
Que el tratamiento, debido a la naturaleza de los datos tratados, está sujeto a las disposiciones contenidas en la legislación vigente de Protección de datos Personales.

INGECAL se compromete a tratar los datos personales a los que tenga acceso según las instrucciones recibidas en virtud de la relación contractual de prestación de servicios que vincula ambas partes, en todos aquellos aspectos en que se requiera su intervención y de acuerdo con las actividades especificadas en el punto anterior.

El presente acuerdo es vigente mientras exista el presente acuerdo o relación contractual de prestación de servicios entre las partes, salvo decisión en contra por alguna de las partes.

Una vez finalice el presente contrato, INGECAL suprimirá cualquier copia de los datos personales que estén en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.

INGECAL como encargado del tratamiento de dichos datos personales para realizar los servicios encomendados, se compromete a tratar a éstos con la diligencia debida y de acuerdo con su mejor criterio y dedicación profesional.

El cliente, como responsable del tratamiento, es responsable de cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento, en cuanto a centros de tratamiento, locales, equipos, sistemas, programas y personas que intervengan en el tratamiento de los datos de carácter personal referidos.

El responsable del tratamiento se obliga a:

Garantizar que dichos tratamientos están debidamente legitimados y legalizados, manifestando haber cumplido todos los requisitos exigidos legalmente para la recogida y tratamiento de los datos de carácter personal.
Proporcionar el acceso y los medios adecuados para que INGECAL pueda prestar el servicio contratado.
Responder de las garantías de los afectados, como son los derechos de acceso, rectificación, cancelación y oposición.
Facilitar el derecho de información en el momento de la recogida de datos.
Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado de tratamiento.
Realizar las consultas previas que corresponda.
Comunicar al encargado de tratamiento cualquier variación que se produzca de los datos personales facilitados para que ésta proceda a su actualización.
Velar, de forma previa y durante la vigencia del contrato, por el cumplimiento de la legislación vigente por parte del encargado.
Hay que verificar que el encargado de tratamiento ofrece las garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas.
Supervisar los tratamientos, incluida la realización de inspecciones y auditorías.

INGECAL, como encargado del tratamiento, y todo su personal y colaboradores se obliga a:

Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios
Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento
Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable del tratamiento
No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, o en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del responsable, de acuerdo con las instrucciones del responsable.

Dado el caso de que se tengan que transferir datos personales a un tercer país fuera de la UE, garantizar al responsable del tratamiento que se realizan en un país sobre el que la Comisión Europea reconoce que ofrece un nivel de protección adecuado o que hay garantías sobre la protección que recibirán los datos en su destino.
Únicamente subcontratar aquellas prestaciones que formen parte del objeto de este contrato y que comporten el tratamiento de datos personales a colaboradores necesarios en los que se delegan parte de la prestación de los servicios contratados y otras empresas que prestan servicios relacionados con la actividad ordinaria y administrativa de la empresa.

En todo caso, el subencargado del tratamiento deberá estar sujeto a las mismas condiciones y en la misma forma que el encargado del tratamiento en cuanto al tratamiento adecuado de los datos personales y a la garantía de los derechos de las personas afectadas.

En caso de incumplimiento por el subencargado, el encargado del tratamiento seguirá siendo plenamente responsable ante Usted en cuanto al cumplimiento de las obligaciones del subencargado.

Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que han sido informados convenientemente.
Mantener a disposición del responsable del tratamiento la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

Si las personas afectadas ejercen los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable del tratamiento. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, junto, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

INGECAL notificará al responsable del tratamiento, sin dilación indebida y a través de los medios que ésta le indique, las violaciones de la seguridad de los datos personales a su cargo de los que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

INGECAL pone a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

En el caso de incumplimiento por parte de INGECAL de cualquiera de las obligaciones como encargado del tratamiento, será considerado responsable del tratamiento, y debe responder de las infracciones en que hubiera incurrido personalmente.

GARANTIAS DE SEGURIDAD DE LA INFORMACIÓN

Con el objetivo de salvaguardar la seguridad de la información en general y de los datos personales en particular, INGECAL ha adoptado todas las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos a los que tiene acceso en cuanto a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

En concreto se dispone de medidas de seguridad consistentes en:

- El control físico del acceso y la protección de los equipos, personas e instalaciones donde realiza los tratamientos de datos.
- El acceso a sus sistemas informáticos se realiza por medio de usuarios y contraseñas individuales, limitando el acceso a los datos a aquellos empleados que estrictamente lo requieren para el desempeño de su puesto de trabajo.
- Que realiza copias de seguridad de los datos personales de los que tiene la obligación de mantener la integridad y disponibilidad.
- En el supuesto de gestionar soportes o documentos con datos personales, éstos están debidamente custodiados bajo llave o con dispositivos de cierre equivalentes.
- Sistemas de protección perimetral en la red para evitar intrusiones y antivirus de protección de sus sistemas informáticos.
- Se dispone de un registro de incidencias de seguridad y se han establecido mecanismos y procedimiento de notificación de quiebras de seguridad.
- Que se dispone de un Plan de Continuidad que establece la posibilidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico dentro de los plazos requeridos para cumplir con los compromisos de negocio a los que estamos obligados según nuestro contrato de servicio.

Asimismo, INGECAL ha puesto en marcha controles internos con el fin de verificar, evaluar y valorar, de manera regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.