ARTÍCULO Nº 500 (CVE: BOME-A-2024-500) DESCARGAR ARTÍCULO

Esta Consejería, por acuerdo del órgano competente, ha procedido a la formalización del Convenio de colaboración para la cesión de datos desde los servicios sociales comunitarios para implementar las tarjetas monederos del FSE +, habiendo sido inscrito en el Registro de Convenios de la Ciudad Autónoma de Melilla con número CON2400112 y los siguientes datos:

Consejería: CONSEJERIA DE POLITICAS SOCIALES Y SALUD PUBLICA

Datos de Aprobación:

Fecha de formalización:           10/06/2024

De acuerdo con la normativa vigente de aplicación se procede a su publicación para su general conocimiento.

Melilla 10 de junio de 2024,

El Secretario Técnico de Políticas Sociales y Salud Pública,

Victoriano Juan Santamaría Martínez

ANEXO

ACUERDO PARA LOS PROVEEDORES DE SERVICIOS DE CONFIDENCIALIDAD Y ACCESO A DATOS POR CUENTA DE TERCEROS “CLÁUSULAS DE PROTECCIÓN DE DATOS” ENTRE LA CIUDAD AUTÓNOMA DE MELILLA, A TRAVÉS DE LA CONSEJERÍA DE POLÍTICAS SOCIALES Y SALUD PÚBLICA (RESPONSABLE DEL TRATAMIENTO) Y CRUZ ROJA ESPAÑOLA (ENCARGADA DE TRATAMIENTO).

Melilla, a 10 de junio de 2024.

De una parte, la Excma. Sra. Randa Mohamed El Aoula, Consejera de Políticas Sociales y Salud Pública de la Ciudad Autónoma de Melilla, por Decreto del Presidente, núm. 915 de fecha 10 de julio de 2023, conforme a lo dispuesto en el Acuerdo del Consejo de Gobierno de fecha 28 de julio de 2023 (BOMe. Extraordinario núm. 54, de 31 de julio de 2023misma fecha en el que se distribuyen competencias entre Consejerías de la Ciudad de Melilla.

De otra parte, D. Julio Caro Sánchez, Presidente del Comité de Cruz Roja Española en la Ciudad Autónoma de Melilla.

Las partes intervienen en nombre y representación de las instituciones señaladas, reconociéndose mutuamente capacidad y legitimación para suscribir el presente acuerdo que fija formalmente y por escrito los términos y condiciones para regular el tratamiento de datos de carácter personal y la confidencialidad de la información suministrada y creada entre ellas. A tal efecto y una vez obtenida la aprobación y autorización, en su reunión de fecha 4 de junio de 2024 del Consejo de Gobierno (Resolución núm. 2024000375 de acuerdo con lo previsto en el art. 16.8 del Reglamento del Gobierno y de la Administración de la Ciudad Autónoma de Melilla (BOME Extraord. nº 2, de 30/01/2017), en consecuencia,

MANIFIESTAN

Que ambas partes se encuentran vinculadas por una relación de colaboración para la puesta en marcha en el año 2024 de un programa transitorio de ámbito nacional de provisión de tarjetas o vales canjeables por productos de alimentación y por otros englobados en la llamada asistencia material básica, para familias con hijos e hijas a cargo, conforme a lo establecido en el Programa FSE+ de Asistencia Material (en adelante, Programa BÁSICO) aprobado por la Comisión Europea mediante Decisión de Ejecución C(2024)2402, de 8 de abril de 2024, por la que se modifica la Decisión de Ejecución C(2022) 9405, de 9 de diciembre de 2022, por la que se aprueba el programa «FSE+ de Asistencia Material Básica» para recibir ayuda del Fondo Social Europeo Plus en el marco del objetivo de inversión en empleo y crecimiento en España.

El Acuerdo de Consejo de Gobierno de fecha 28 de julio de 2023, relativo al decreto de distribución de competencias entre las Consejerías de la ciudad, atribuye a la Consejería de Políticas Sociales y Salud Pública entre otras competencias la Gestión de los Servicios Sociales básicos. El artículo 11 del Decreto núm. 92, de fecha 16 de junio de 2017, Reglamento de Régimen Interno de los  Centros de Servicios Sociales Comunitarios de la Ciudad Autónoma de Melilla (BOMe. núm. 5455, de 27 de junio de 2017), desarrolla entre otra prestaciones, las Prestaciones Básicas de Servicios Sociales Comunitarios, en la que se encuentra enmarcado el tipo de programa que contempla este acuerdo.

Que el Real Decreto 93/2024, de 23 de enero, por el que se regula la concesión directa de una subvención a la entidad social Cruz Roja Española para la puesta en marcha durante el año 2024 del Programa del Fondo Social Europeo Plus de Asistencia Material Básica (Programa BÁSICO), contempla en su artículo 17.3 que “La entidad beneficiaria tratará los datos personales facilitados por las administraciones públicas autonómicas para los fines establecidos del tratamiento y la misión objeto de la subvención”.

Que según el artículo 6,1,c) del Reglamento General de Protección de Datos (EU 2016/679) (en adelante RGPD), el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. De igual modo, el artículo 6.1 e) del RGPD, determina que el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Que, en cumplimiento de lo establecido en los art. 28 y 29 del RGPD y en el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), ambas partes, de forma libre y espontánea voluntad, acuerdan regular el tratamiento de los datos de carácter personal de conformidad con las siguientes

CLAÚSULAS

Primera. Responsable y encargado del tratamiento.

La Consejería de Políticas Sociales y Salud Pública de la Ciudad Autónoma de

Melilla tendrá la consideración de “Responsable del tratamiento” y Cruz Roja Española, tendrá la consideración de “Encargado del tratamiento”, conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el resto de normativa vigente en la materia.

En consecuencia, el acceso a datos de carácter personal en el marco de este acuerdo, se realiza con el único fin de dar cumplimiento al objeto del mismo y no se considerará como una cesión o comunicación de datos.

Segunda. Definiciones.

Los términos específicos en materia de protección de datos serán interpretados conforme a las definiciones establecidas en el artículo 4 del RGPD.

Tercera. Objeto del encargo del tratamiento.

Mediante las presentes cláusulas se habilita a la entidad Cruz Roja Española, Encargada del tratamiento, para tratar por cuenta de la Consejería de Políticas Sociales y Salud Pública, Responsable del tratamiento, los datos de carácter personal de las personas usuarias de los servicios sociales necesarios para desarrollar en colaboración con la Ciudad de Melilla el Programa BÁSICO conforme a lo establecido en el Programa FSE+ de Asistencia Material aprobado por la Comisión Europea mediante Decisión de Ejecución C(2024)2402, de 8 de abril de 2024, por la que se modifica la Decisión de Ejecución C(2022) 9405, de 9 de diciembre de 2022, por la que se aprueba el programa «FSE+ de Asistencia Material Básica», y según lo estipulado en el Real Decreto 93/2024, de 23 de enero, por el que se regula la concesión directa de una subvención a la entidad social Cruz Roja Española para la puesta en marcha durante el año 2024 del Programa del Fondo Social Europeo Plus de Asistencia Material Básica (Programa BÁSICO).

El tratamiento de los datos personales comprenderá modificación y consulta, así como cualquier otro que requiera el objeto del acuerdo que se suscribe.

Cuarta. Identificación de la información afectada.

Para la ejecución de la/s actuación/actuaciones derivadas del cumplimiento del objeto de este encargo, el Responsable del tratamiento pone a disposición del Encargado, la información que se describe a continuación, correspondiente a la actividad de tratamiento “Sistema de Información de personas Usuarias de Servicios Sociales”.

·         Interesados: ciudadanos (personas usuarias de los servicios sociales) a atender en el marco del Programa BÁSICO.

·         Datos personales del tratamiento a los que se puede acceder: datos de carácter identificativo, características personales, circunstancias sociales, datos académicos y profesionales y datos económicos, financieros y de seguros. Datos especialmente protegidos. (Nombre y apellidos, DNI, teléfono, dirección postal, sexo, edad, estado civil, nacionalidad, fecha de nacimiento, datos de familia, características de alojamiento, titulación, formación, experiencia profesional, ingresos y prestaciones).

Quinta. Duración.

El presente acuerdo tiene una duración coincidente con el periodo de vigencia del acuerdo suscrito, sin perjuicio de las obligaciones que, conforme al clausulado del presente acuerdo de encargo hayan de extenderse más allá de dicho período.

Sexta. Deber de confidencialidad.

El Encargado del tratamiento se obliga a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el Responsable del Tratamiento a efectos de dar cumplimiento al objeto del acuerdo.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este acuerdo, en especial la información y datos personales a los que el Encargado haya accedido o acceda durante su ejecución.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud del presente acuerdo durante la vigencia del mismo, así como de forma indefinida tras su finalización, obligándose a:

a)     Utilizar la información de forma reservada.

b)     No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y el Decreto n.º 43 de fecha 14 de julio de 2016, relativo a la aprobación definitiva del Reglamento de Transparencia y Acceso a la Información Pública de la Ciudad Autónoma de Melilla..

c)     Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d)     Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e)     No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de este acuerdo.

f)      Cumplir con todos los términos fijados en el presente acuerdo y muy especialmente aquellos relativos a las cláusulas sobre confidencialidad, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios, subencargados, etc.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes incurriendo en caso contrario en las responsabilidades previstas en la legislación vigente.

El Encargado será responsable de que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del Responsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el Encargado, entendiéndose circunscritas estas obligaciones tanto al ámbito interno de la entidad como al ámbito externo de la misma. Por tanto, el Encargado realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones, así como del cumplimiento de las medidas de seguridad correspondientes, incluidas las que consten en los documentos de seguridad de las dependencias de la Ciudad de Melilla en las que, en su caso, hubieran de desarrollar su trabajo.

A estos efectos, el Encargado se compromete a llevar un listado del personal/personas autorizadas para tratar los datos personales, que estará en todo momento a disposición del Responsable.

La Ciudad Autónoma de Melilla se reserva el derecho al ejercicio de las acciones legales oportunas en caso de que, bajo su criterio, se produzca un incumplimiento de dichos compromisos.

El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de las obligaciones anteriormente señaladas.

Séptima. Obligaciones del encargado del tratamiento.

El Encargado del tratamiento asume, junto al resto de las contenidas en el presente acuerdo, las siguientes obligaciones:

a)     Acceder, utilizar y destinar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b)     Tratar los datos de acuerdo con las instrucciones del Responsable del tratamiento conforme al contenido de este acuerdo y a, en su caso, las instrucciones que le pueda especificar en concreto. Si el Encargado considera que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, informará inmediatamente al Responsable.

c)     Facilitar, en el momento de la recogida de los datos, la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el Responsable antes del inicio de la recogida de los datos.

d)     Asumir la condición de Responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del acuerdo, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubiera incurrido personalmente.

e)     No permitir el acceso a los datos de carácter personal responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para el desarrollo y correcto cumplimiento del objeto del acuerdo suscrito.

f)     No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable, que deberá constar, en todo caso, por escrito.

g)     A estos efectos, el Encargado podrá comunicar los datos a otros Encargados del tratamiento del mismo Responsable, de acuerdo con las instrucciones de dicho Responsable. En este caso, el Responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos concretos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

h)      Tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de subencargado/s autorizado/s conforme a lo establecido en el acuerdo suscrito o demás documentos convencionales que pudieran adicionarse o complementar al mismo, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

i)     En el caso de que por causa de Derecho nacional o de la Unión Europea el Encargado se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará por escrito al Responsable de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Responsable del tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.

j)     Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD y en el Real Decreto vigente por el que se regula el Esquema Nacional de Seguridad (ENS), que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable y eviten su    destrucción, pérdida o alteración accidental o ilícita,  tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos  almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

k)      Garantizar, a lo largo de toda la vigencia del acuerdo, la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

l)      En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el Encargado mantendrá un registro, incluso en formato electrónico, de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga la información exigida por el artículo 30.2 del RGPD.

m)     Asistir al Responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en los términos dispuestos en la cláusula undécima del presente acuerdo, y le ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado.

n)      Colaborar con el Responsable en el cumplimiento de sus obligaciones en materia de medidas de seguridad, comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados y colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga, y de conformidad con las disposiciones contenidas en la cláusula novena del presente acuerdo.

o)    Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Responsable, a requerimiento de este. Asimismo, durante la vigencia del acuerdo, pondrá a disposición del Responsable toda información, certificaciones y auditorías realizadas en cada momento. Igualmente, proporcionará al Responsable cuantos datos o documentos le sean requeridos en los controles, auditorías o inspecciones que realice en cualquier momento el propio Responsable del tratamiento u otro auditor autorizado por este.

p)     En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al Responsable, así como cumplir con el resto de requerimientos establecidos en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD. En los mismos términos se procederá en caso de que la designación haya sido voluntaria.

q)     Asimismo, el Encargado habrá de comunicar la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el mismo como su/s representante(s) a efectos de protección de los Datos Personales, responsable(s) del cumplimiento

r)     de la regulación del tratamiento de datos personales, en las vertientes legales/formales y en las de seguridad.

s)     Respetar todas las obligaciones que pudieran corresponderle como Encargado del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

Octava. Obligaciones del responsable del tratamiento.

El Responsable manifiesta y hace constar a los efectos legales oportunos que:

a)     Cumple con todas sus obligaciones en materia de protección de datos como responsable del tratamiento y es consciente de que los términos de este acuerdo en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al Responsable del Tratamiento como tal.

b)     Supervisa el tratamiento y el cumplimiento de la normativa de protección de datos por parte del Encargado del Tratamiento.

Novena. Medidas de seguridad y violación de la seguridad.

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a)     La seudonimización y el cifrado de datos personales.

b)     La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c)     Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d)     Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, el Encargado tendrá en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

El Encargado del Tratamiento permitirá y contribuirá a la realización de controles, auditorías e inspecciones, por parte del Responsable del tratamiento o de otro auditor autorizado por este.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del acuerdo de referencia, el Encargado garantiza la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos de este acuerdo.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por el Encargado para la prestación de los servicios objeto del acuerdo, este deberá comunicarla al Responsable, sin dilación indebida, y a más tardar en el plazo de 72 horas, máximo previsto en el artículo 33.1 del RGPD, desde que se tenga constancia de la misma, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener, que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del acuerdo. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad, todo ello conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, corresponderá al Responsable comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente. Y en cualquier otro caso cuando así sea de aplicación conforme a lo establecido en la normativa vigente.

Décima. Destino de los datos al finalizar el acuerdo.

Una vez cumplido o resuelto el acuerdo y, en consecuencia, finalizado el encargo, el Encargado devolverá al Responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el acuerdo. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el Encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del acuerdo.

Undécima. Ejercicio de derechos ante el encargado de tratamiento.

El Encargado deberá dar traslado al Responsable de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por el Encargado con motivo del cumplimiento del acuerdo, a fin de que se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad posible y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder.

Asimismo, el Encargado deberá tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciba a través del Responsable, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud, como la ejecución de la tarea encomendada.

Duodécima. Subencargo del tratamiento.

Con carácter general el Encargado no podrá subencargar las prestaciones que formen parte del objeto de este acuerdo y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para su normal funcionamiento.

Sin perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar todo o parte de los servicios encargados por el Responsable en los que intervenga el tratamiento de datos personales, deberá comunicarlo previamente y por escrito al Responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subencargar e identificando de forma clara e inequívoca la empresa subencargada y sus datos de contacto.

El subencargo podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo establecido.