CONTRATO DE ENCARGO DE TRATAMIENTO PARA LA PUBLICACIÓN DE DATOS EN LA PLATAFORMA DEPORTIVA 

Las partes se reconocen recíprocamente, en el carácter en el que intervienen, plena capacidad para contratar y en el caso de representar a terceros, cada uno de los intervinientes asegura que el poder con el que actúa no ha sido revocado ni limitado, y que es bastante para obligar a sus representados en virtud de este contrato de acceso a datos, y a tal objeto: 

EXPONEN 

I.- Que, el objeto del presente contrato es regular el tratamiento por el ENCARGADO DEL TRATAMIENTO (NBN23 S.L.) de determinados datos personales por cuenta del RESPONSABLE DEL TRATAMIENTO (CLIENTE), con motivo de la relación de prestación de servicios que vincula a ambas partes, dando cumplimiento a las obligaciones establecidas en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y en la normativa española de protección de datos de carácter personal. 

II.- Que, conforme a lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales en su artículo 33.2 “Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público. Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.” 

Y de acuerdo con lo que antecede, las Partes convienen en suscribir el presente CONTRATO DE ENCARGO DE TRATAMIENTO PARA LA PUBLICACIÓN DE DATOS, con sujeción a las siguientes, 

CLÁUSULAS Y CONDICIONES 

Identificación de las partes: El CLIENTE (a efectos de este contrato y también identificado como responsable o responsable del tratamiento), y no NBN23 (también identificado como encargado o encargado del tratamiento), es el único responsable del/os tratamiento/s de datos personales que alojen y publiquen a través de la plataforma, quedando obligado al cumplimiento de lo establecido en el Reglamento (UE) 2016/679, General de Protección de Datos (en adelante RGPD) y demás normativa aplicable en la materia. Cada parte cumplirá́ con sus obligaciones en materia de protección de datos de carácter personal. 

Objeto del contrato: Mediante las presentes cláusulas se habilita a la entidad ENCARGADA DE TRATAMIENTO, para tratar por cuenta del, RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal necesarios para prestar el 

servicio descrito en contrato de servicio (en adelante también se entenderá que dentro del término Contenidos, se entienden mencionados los datos personales responsabilidad del RESPONSABLE DEL TRATAMIENTO). 

Naturaleza y finalidad del tratamiento de la información afectada: Prestación de los servicios de publicación de datos personales en la Plataforma Deportiva, lo que incluye todos los procesos de tratamiento de los datos para la consecución de dicho fin. 

Operaciones de tratamiento: para llevar a cabo la publicación de los datos en la plataforma deportiva, se llevarán a cabo por ENCARGADO DEL TRATAMIENTO todas las operaciones de tratamiento de datos de contempladas en el artículo 4.2 del RGPD. 

Identificación de la información afectada. Categorías de interesados: El ENCARGADO DEL TRATAMIENTO tratará por cuenta del RESPONSABLE DEL TRATAMIENTO la información sobre personas físicas identificadas o identificables siguientes: 

– Entrenadores. 

– Asistentes. 

– Jugadores. 

– Representantes legales de los jugadores (padres y madres o tutores). 

– Árbitros. 

Identificación de la información afectada. Tipo de datos personales: 

– En relación con los entrenadores: datos identificativos (como nombre, apellidos y DNI, género, fecha nacimiento, dirección de correo electrónico, teléfono); datos profesionales (como licencia, nivel técnico, formación y club al que pertenece); datos de los partidos o competiciones (fecha de celebración, lugar de celebración) e imagen. 

– En relación con los asistentes: datos identificativos (como nombre, apellidos y DNI, género, fecha nacimiento, dirección de correo electrónico, teléfono); datos profesionales (como licencia y club al que pertenece) e imagen. 

– En relación con los jugadores/deportistas/usuarios: datos identificativos (como nombre, apellidos y DNI, género, fecha nacimiento, dirección de correo electrónico, teléfono); datos profesionales (como licencia, altura, peso y club al que pertenece); datos familiares (como nombre y apellidos del padre/madre, trabajo, dirección de correo electrónico, teléfono y permiso parental); datos de salud 

(como revisión médica); datos de los partidos o competiciones (como estadísticas de actuación en las competiciones, fecha de celebración, lugar de celebración) e imagen. 

– En relación con los representantes legales de los jugadores/ /usuarios/deportistas (padres y madres o tutores): datos identificativos (como nombre, apellidos y DNI, género, fecha nacimiento, dirección de correo electrónico, teléfono). 

– En relación con los árbitros: datos identificativos (como nombre, apellidos y DNI, género, fecha nacimiento, dirección de correo electrónico, teléfono); datos profesionales (como licencia, nivel del árbitro y formación); otros datos (si dispone de transporte); datos de los partidos o competiciones (fecha de celebración, lugar de celebración) e imagen. 

En todo caso, las categorías de interesados y los tipos de datos personales están sujetos a los cambios que NBN23 consideren necesarios. 

Obligaciones del responsable del tratamiento: El CLIENTE (responsable del tratamiento) declara y garantiza lo siguiente: 

1. Que es la legítima propietaria y titular de todos los derechos sobre los Contenidos publicados a través de la plataforma deportiva, incluidos los de propiedad intelectual e industrial o en otro caso, está legitimada por su titular con el conjunto de los derechos de todas las referencias que permiten a NBN23 publicar los Contenidos a través de la plataforma. 

2. Que, en consecuencia, NBN23 puede prestar el servicio de alojamiento y publicación de los Contenidos a través de la plataforma, sin que dicha publicación vulnere leyes o normas aplicables y, en particular, derechos de propiedad intelectual, industrial, protección de datos u otros derechos de terceros. 

3. Que el CLIENTE cuenta con todas las autorizaciones que en su caso resulten necesarias para publicar los Contenidos a través de la plataforma, especialmente cuando estos Contenidos afecten a datos de menores de edad en relación con las normas de imagen, protección de datos y protección de los derechos del Menor. 

4. Que el CLIENTE ha facilitado a los interesados cuyos datos sean publicados a través de la plataforma deportiva toda la información prevista en el artículo 13 y 14 del Reglamento (UE) 2016/679, General de Protección de Datos, y que ha cumplido cuantas obligaciones le corresponden en cuanto responsable del tratamiento de los mismos, en especial por lo que respecta a la concurrencia de las preceptivas bases jurídicas legitimadoras del tratamiento y de los principios aplicables al tratamiento de los datos de carácter personal previstos en la referida norma. 

5. Entregar al encargado los datos a los que se refiere este documento o ponerlos a su disposición. 

6. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado. 

7. Realizar las consultas previas que corresponda en su caso a la autoridad de control. 

8. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del Reglamento (UE) 2016/679 por parte del encargado del tratamiento. 

9. Supervisar el tratamiento realizado por el encargado del tratamiento. 

Obligaciones del encargado de tratamiento: NBN23, en su condición de encargado del tratamiento, y todo su personal se obliga a: 

1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, para la finalidad de prestación del servicio. En caso en que el ENCARGADO DEL TRATAMIENTO infrinja lo establecido en el RGPD al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento. 

2. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. A tales efectos se entenderá que el Contrato de Servicio a que acompaña este contrato de encargo de tratamiento constituye, sin perjuicio de otras instrucciones que el RESPONSABLE DEL TRATAMIENTO pueda comunicar al ENCARGADOD DEL TRATAMIENTO, el conjunto de las instrucciones documentadas que debe tener en cuenta el ENCARGADO DEL TRATAMIENTO. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el Reglamento (UE) 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable. 

3. Cuando corresponda, de acuerdo con lo establecido en el artículo 30.2 del RGPD, llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable. 

4.NBN23 podrá comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable del tratamiento. En este caso, el responsable del tratamiento identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si NBN23 debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o 

de los Estados miembros que le sea aplicable, informará al responsable del tratamiento de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. 

5. NBN23 podrá́ subcontratar todas aquellas prestaciones y servicios auxiliares necesarios para el correcto normal funcionamiento del servicio. Concretamente, queda autorizado el acceso a los datos que realicen las personas físicas que presten sus servicios a NBN23 actuando dentro de su marco organizativo en virtud de una relación mercantil y no laboral. Asimismo, queda autorizado el acceso a los datos a las empresas y profesionales que NBN23 tenga contratados en su ámbito organizativo interno para que le presten servicios generales o de mantenimiento (servicios informáticos, asesoramiento, auditorías u otros). En particular,y sin perjuicio de la incorporación de nuevos suben cargados para el correcto funcionamiento del servicio, se autoriza por el RESPONSABLE DEL TRATAMIENTO a NBN23 la subcontratación de los servicios que se detallan a continuación: 

– Con la entidad MICROSOFT CORPORATION en su plataforma AZURE. MICROSOFT (https://privacy.microsoft.com/es-es/privacystatement) (https://www.microsoft.com/es- ww/trust-center/privacy) 

– Con la entidad GOOGLE CLOUD EMEA LIMITED en su plataforma GOOGLE CLOUD. La plataforma Google Cloud cuenta con la certificación ISO 27001, ISO 27017 y ISO 27018 y sus servidores se encuentran dentro de la UE. (https://cloud.google.com/security/gdpr?hl=es) (https://policies.google.com/privacy?utm_source=google&utm_medium=pushdown- auth&utm_campaign=Emmett) 

– Con la entidad MILEYENDA ENTERTAINMENT S.L. en su plataforma LEVERADE. MILEYENDA ENTERTAINMENT S.L. C y a su vez, la subcontratación por esta entidad de GOOGLE cuyos servidores se encuentran dentro de la UE. (https://leverade.com/es/terms) 

– Con la entidad AMAZON WEB SERVICES, Inc. (https://aws.amazon.com/es/privacy/) 

– Con la entidad MONGODB CLOUD, que se trata de una entidad adherida al cumplimiento del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 

– Con la entidad PIXELLOT LIMITED, que se trata de una entidad adherida al cumplimiento del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos 

– Con la entidad Nothingbutnet S.L. que se trata de una entidad adherida al cumplimiento del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos 

En estos casos, los subcontratistas, que también tienen la condición de encargado del tratamiento, están obligados igualmente a cumplir las instrucciones que dicte el RESPONSABLE DEL TRATAMIENTO en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte de los subencargados del tratamiento, NBN23 seguirá siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de las obligaciones 

Además de la autorización específica para contratar a los encargados del tratamiento listados anteriormente, el RESPONSABLE DEL TRATAMIENTO otorga una autorización general a NBN23 para contratar a otros nuevos subencargados del tratamiento y/o sustituir a los anteriormente acordados, cuando ello fuera necesario para la ejecución de las prestaciones del contrato de servicio y con las mismas garantías que los subencargados anteriores. Para estos casos y al amparo de la autorización general otorgada en relación con nuevas contrataciones y/o sustitución de los encargados del tratamiento ya existentes, NBN23 informará al RESPONSABLE DEL TRATAMIENTO por escrito de las adiciones o sustituciones de subencargados con al menos 1 mes de antelación, de modo que el RESPONSABLE DEL TRATAMIENTO tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. NBN23 proporcionará al RESPONSABLE DEL TRATAMIENTO la información necesaria para que este pueda ejercer su derecho a formular objeción. En el supuesto de ejercer dicha oposición se entenderá que existe un “desistimiento unilateral del contrato de servicio” por parte del responsable aplicandose en este caso la clausula 11.c del contrato de servicio. 

6. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. 

7. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. 

8. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. 

9. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. 

10. Asistir al responsable en la respuesta al ejercicio de los derechos para lo cual, si NBN23 recibe una petición, la trasladará al responsable para que este proceda a su contestación. 

11. Notificación de violaciones de la seguridad de los datos: NBN23 notificará al responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de veinticuatro (24) horas y a través de medio que deje constancia de la comunicación, las violaciones 

de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. La notificación de las violaciones de seguridad a la autoridad de control y, en su caso, cuando corresponda, a los interesados, será una tarea u obligación del responsable de seguridad. 

12. Dar apoyo al responsable en la realización de las evaluaciones de impacto relativas a la protección de datos, y en su caso, a las consultas previas, cuando proceda. 

13. Dar apoyo al responsable en la realización de las consultas previas a la autoridad de control, cuando proceda. 

14. Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él. 

15. NBN23 garantiza la aplicación de las medidas de seguridad adoptadas, en cumplimiento del artículo 32 del RGPD, en base al análisis de riesgos realizado atendiendo al estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas que presenta el tratamiento de datos, y verificará, evaluará y auditará de forma regular la eficacia de dichas medidas, actualizándolas en caso en que fuera necesario de acuerdo con el resultado de dichas evaluaciones. 

16. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable, cuando proceda. 

17. Una vez finalizado el servicio, NBN23 procederá a la devolución o supresión de todos los datos de carácter personal siguiendo las instrucciones del responsable del tratamiento. En todo caso y sin perjuicio de ello, NBN23 no tendrá la obligación de eliminar la información que, como resultado de un proceso de disociación para dar cumplimiento a la obligación de borrado de la información, pueda llevar a cabo. Dicha información disociada y anónima y que por tanto ya no es información personal, será propiedad de NBN23 quién la explotará con fines estadísticos y analíticos para aplicar y tratar con fines relacionados con su objeto social en el desarrollo de proyectos. NBN23 adoptará todas las garantías adecuadas en el tratamiento de los datos estadísticos y de investigación que aseguren que se aplican medidas técnicas y organizativas para garantizar que no se pueda identificar en ningún caso a los interesados y por tanto, su completa anonimidad. 

En cumplimiento de lo establecido en el apartado 3.g) del artículo 28 del RGPD, NBN23 conservará una copia, con los datos debidamente bloqueados, cuando que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros mientras puedan derivarse responsabilidades de la ejecución de la prestación. 

Duración: El presente contrato entrará en vigor desde la fecha de su firma y estará vigente junto con sus actualizaciones hasta la fecha de terminación de la relación de prestación de servicios entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DEL TRATAMIENTO. 

Acuerdos y contratos anteriores sobre el mismo objeto: El presente contrato constituye el acuerdo entre las Partes en relación con su objeto y deja sin efecto cualquier otra negociación, obligación, contrato o comunicación de cualquier naturaleza entre éstas, sobre el mismo objeto, ya sea verbal o por escrito, efectuada con anterioridad a la fecha en que se firme el mismo, quedando por tanto la/s misma/s, en su caso, sin efecto y novadas y sustituidas por el presente contrato. 

Ley aplicable y foro: El presente contrato se regirá e interpretará conforme a la legislación española en aquello que no esté expresamente regulado. Si alguna de las estipulaciones o condiciones del presente contrato resultara nula, inválida o ineficaz y no pudiera tener efecto por causa de la legislación aplicable a él, dicha nulidad, invalidez o ineficacia no afectara al resto de las estipulaciones o condiciones. 

Las partes se someten, para las controversias que pudieran surgir en relación con el presente contrato, a la competencia de los Juzgados y Tribunales reflejado en el contrato de servicio con renuncia a cualquier otro foro que les pudiera corresponder. 

Información básica y detallada sobre protección de datos de carácter personal dirigida a los firmantes e interlocutores de este contrato: La entidad NBN23, S.L. (en adelante NBN23) con domicilio en C/ Juan de la Cierva, 27 Edificio Wellness 1 46980 Paterna (Valencia) y dirección electrónica de contacto dpo@nbn23.tech es responsable del tratamiento de los datos personales de los representantes legales e interlocutores de las partes recogidos en este contrato y los tratará para la correcta ejecución y desarrollo del presente contrato. Los interesados pueden ejercer sus derechos de protección de datos de los artículos 15 a 22 del RGPD ante NBN23 dirigiéndose a las direcciones indicadas. Información detallada sobre el tratamiento de datos en el Contrato de Servicio a que acompaña este documento.