GASETA MUNICIPAL DE BARCELONA - ANNEXOS - 20 de setembre del 2022 CSV: 458f-9239-7187-89c1 CONVENI de col·laboració entre l'Institut de Cultura de Barcelona (ICUB) i l' Institut Municipal de Serveis Socials (IMSS) en què es regula el tractament en qualitat de corresponsables de les dades identificatives de caràcter personal de les persones usuàries dels seus serveis. (Exp: 3042-2021). Institut Municipal de Serveis Socials Institut de Cultura de Barcelona ANNEX AL CONVENI DE COL·LABORACIÓ ENTRE L’INSTITUT MUNICIPAL DE SERVEIS SOCIALS (IMSS) I L’INSTITUT DE CULTURA DE BARCELONA (ICUB) EN QUÈ ES REGULA EL TRACTAMENT EN QUALITAT DE CORRESPONSABLES DE LES DADES IDENTIFICATIVES I DE CARÀCTER PERSONAL DE LES PERSONES USUÀRIES DELS SEUS SERVEIS, NECESSÀRIES PER AL DESENVOLUPAMENT EFICIENT I EFICAÇ DE DETERMINATS OBJECTIUS DE LES SEVES COMPETÈNCIES. Les condicions de les trameses d’informació entre l’ICUB i l’IMSS pel que fa a l’aplicació del conveni signat entre aquestes institucions són les següents:  L’IMSS trametrà a l’ICUB un fitxer amb aquesta base de dades, per tal de que es pugui fer arribar a les famílies interessades la informació relativa a l’operativa i la funcionalitat dels xecs culturals. A. Les dades que trametrà l’IMSS són:  Nom  Cognoms  Telèfon mòbil  Document d’identificació (DNI, NIE o passaport)  Domini internet B. L’ICUB rebrà la base de dades provinent de l’IMSS i procedirà a trametre-la a NOVACT, entitat amb la que haurà de signar l’ Encàrrec de Tractament d’acord amb el model que s’annexa. C. NOVACT, per la seva banda, com a gestor de la moneda ciutadana REC a través d’un sistema innovador de bonificacions i canalització d’ajudes en moneda ciutadana als establiments i equipaments culturals dels barris de Sants i Poble Sec, amb l’ objectiu de reactivar i afavorir el consum i l’accés cultural local, així com la digitalització dels propis establiments i agents culturals de barri, gestionarà la base de dades per tal de fer arribar a les famílies interessades les comunicacions corresponents a la informació relativa a l’operativa i la funcionalitat dels xecs culturals. La comunicació als usuaris interessats consistirà inicialment en l’enviament, per part de NOVACT, d’un SMS de benvinguda al programa, facilitant un link a una pàgina web amb informació del mateix, seguit de, en cas de necessitar-ho i sol·licitar-ho, una visita presencial a les oficines de l’OCCU (Oficina Ciutadana de la Cultura) per tal de rebre assessorament personalitzat al respecte de les eines tecnològiques i el mecanisme de funcionament de la moneda ciutadana digital del REC Cultural. En tot cas els usuaris hauran de ser informats de l’existència del tractament, de la corresponsabilitat de les parts, de les vies d’exercici dels seus drets i de la ubicació del delegat de protecció de dades de la corporació. 11 GASETA MUNICIPAL DE BARCELONA - ANNEXOS - 20 de setembre del 2022 CSV: 458f-9239-7187-89c1 CONVENI de col·laboració entre l'Institut de Cultura de Barcelona (ICUB) i l' Institut Municipal de Serveis Socials (IMSS) en què es regula el tractament en qualitat de corresponsables de les dades identificatives de caràcter personal de les persones usuàries dels seus serveis. (Exp: 3042-2021). Institut Municipal de Serveis Socials Institut de Cultura de Barcelona MODEL Encàrrec tractament NOVACT, com a encarregat de tractament, tindrà les obligacions següents:  Utilitzar les dades personals objecte del tractament, o les que reculli per a la seva inclusió, només per a la finalitat objecte d’aquest encàrrec. En cap cas podrà utilitzar-les per a finalitats pròpies.  Tractar les dades personals seguint únicament les instruccions documentades del responsable.  Portar, per escrit, un registre de totes les categories d’activitats de tractament efectuades per compte del responsable que contingui: 1. El nom i les dades de contacte de l’encarregat o encarregats i de cada responsable per compte del qual actuï l’encarregat. 2. Les categories de tractaments efectuades per compte de cada responsable. 3. Una descripció general de les mesures tècniques i organitzatives de seguretat apropiades que estigui aplicant.  No comunicar dades a terceres persones, excepte en el cas que compti amb l’autorització expressa del responsable del tractament, o en els supòsits legalment admissibles. Si l’encarregat vol subcontractar, haurà d’informar obligatòriament al responsable i sol·licitar la seva autorització prèvia.  Mantenir el deure de secret respecte a les dades de caràcter personal a les quals hagi tingut accés en virtut del present encàrrec, inclús després de que finalitzi el contracte.  Garantir que les persones autoritzades al tractament de dades personals s’hagin compromès, de forma expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat corresponents, de les quals se les ha d’informar convenientment.  Mantenir a disposició del responsable la documentació acreditativa del compliment de la obligació establerta a l’apartat anterior.  Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per a tractar dades de caràcter personal.  Quan les persones afectades exerceixin els drets reconeguts per la normativa de protecció de dades davant de l’encarregat del tractament (accés, rectificació, supressió, oposició, limitació del tractament i portabilitat de les dades), aquest haurà de comunicar-ho per correu electrònic a l’adreça que indiqui el responsable. La comunicació haurà de fer-se de forma immediata i en cap cas més enllà del dia laborable següent al de la recepció de la sol·licitud, juntament amb altres informacions que puguin ser rellevants per a resoldre la sol·licitud. (per valorar la pertinença del seu contingut)  Assistir al responsable en la seva obligació de respondre a les sol·licituds que tinguin per objecte l’exercici dels drets dels interessats així com també als requeriments de les autoritats de control.  En allò referent a les notificacions de violacions de la seguretat de les dades: 12 GASETA MUNICIPAL DE BARCELONA - ANNEXOS - 20 de setembre del 2022 CSV: 458f-9239-7187-89c1 CONVENI de col·laboració entre l'Institut de Cultura de Barcelona (ICUB) i l' Institut Municipal de Serveis Socials (IMSS) en què es regula el tractament en qualitat de corresponsables de les dades identificatives de caràcter personal de les persones usuàries dels seus serveis. (Exp: 3042-2021). Institut Municipal de Serveis Socials Institut de Cultura de Barcelona 1.L’encarregat del tractament notificarà al responsable del tractament, de forma immediata i mitjançant l’adreça de correu electrònic facilitada pel responsable, les violacions de la seguretat de les dades personals al seu càrrec de les quals tingui coneixement, juntament amb tota la informació rellevant per a la documentació i comunicació de la incidència. Es facilitarà, com a mínim, la informació següent: a) Descripció de la naturalesa de la violació de la seguretat de les dades personals, incloent quan sigui possible, les categories i el nombre aproximat d’interessats afectats i les categories i el nombre aproximat de registres de dades personals afectats. b) Dades de la persona de contacte per obtenir més informació. c) Descripció de les possibles conseqüències de la violació de la seguretat de les dades personals. Descripció de les mesures adoptades o proposades per a posar remei a la violació de la seguretat de les dades personals, incloent si escau, les mesures adoptades per a mitigar els possibles efectes negatius. Si no és possible facilitar la informació de forma simultània, la informació s’ha de facilitar de forma gradual i sense dilacions. 2.L’Encarregat, a petició del responsable, comunicarà en el menor temps possible aquestes violacions de la seguretat de les dades als interessats, quan sigui probable que la violació suposi un alt risc pels drets i llibertats de les persones físiques. La comunicació ha de fer-se en un llenguatge clar i senzill i haurà d’incloure els elements que en cada cas assenyali el responsable, com a mínim: a) La naturalesa de la violació de les dades b) Dades del punt de contacte del responsable o de l’encarregat on es pugui obtenir més informació. c) Descripció de les possibles conseqüències de la violació de la seguretat de les dades personals. d) Descripció de les mesures adoptades o proposades pel responsable de tractament per a posar remei a la violació de la seguretat de les dades personals, incloent si escau, les mesures adoptades per a mitigar els possibles efectes negatius.  Posar a disposició del responsable tota la informació necessària per a demostrar el compliment de les seves obligacions, així com per a la realització de les auditories o les inspeccions que realitzi el responsable o un altre auditor autoritzat per ell.  Permetre i contribuir a la realització d’auditories, incloses inspeccions, per part del responsable o auditor autoritzat per aquest.  D’acord amb l’art. 32 del RGPD i el nivell de mesures establert per l’Ajuntament de Barcelona, prendrà totes les mesures necessàries per a la seguretat del tractament, incloent entre d’altres, si s’escau: o La pseudoanonimització i el xifrat de dades personals. o La capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament. 13 GASETA MUNICIPAL DE BARCELONA - ANNEXOS - 20 de setembre del 2022 CSV: 458f-9239-7187-89c1 CONVENI de col·laboració entre l'Institut de Cultura de Barcelona (ICUB) i l' Institut Municipal de Serveis Socials (IMSS) en què es regula el tractament en qualitat de corresponsables de les dades identificatives de caràcter personal de les persones usuàries dels seus serveis. (Exp: 3042-2021). Institut Municipal de Serveis Socials Institut de Cultura de Barcelona o La capacitat de restaurar la disponibilitat i l’accés a les dades personals de forma ràpida en cas d’incident físic o tècnic. o Un procés de verificació, avaluació i valoració regulars de l’eficàcia de les mesures tècniques i organitzatives per garantir la seguretat del tractament.  Per tal d’avaluar l’adequació del nivell de seguretat, tindrà particularment en compte els riscos que presenti el tractament de les dades com a conseqüència de la destrucció, pèrdua o alteració accidental o il·lícita de dades personals trameses, conservades o tractades d’altra forma, o la comunicació o accés no autoritzats a les dades esmentades.  Al finalitzar la prestació dels serveis del tractament d’acord amb les instruccions que rebi de l’Ajuntament de Barcelona, suprimir o tornar totes les dades personals i suprimir les còpies existents (tret que existeixen obligacions legals que requereixin la conservació per un temps definit).  Si considera que una instrucció del responsable infringeix el RGPD o altres disposicions en matèria de protecció de dades de la Unió o dels Estats membres, l’encarregat informarà immediatament al responsable.  Si l’encarregat infringeix la normativa de protecció de dades vigent (RGPD, LOPDGDD...) serà considerat responsable del tractament.  Respecte les mesures de seguretat, haurà de complir aquelles establertes a l’annex corresponent. En cas que l’encarregat de tractament decideixi recórrer a un altre encarregat (com per exemple, en cas de subcontractació) :  Haurà de comptar amb l’autorització prèvia per escrit de l’Ajuntament de Barcelona.  Si s’autoritzés recórrer a un altre encarregat i s’hagués de produir algun canvi, s’haurà d’informar a l’Ajuntament de Barcelona, i aquest tindrà la possibilitat d’oposar-se i rescindir el contracte.  L’altre encarregat tindrà les mateixes obligacions de protecció de dades que les estipulades en el contracte o acte jurídic entre el responsable i l’encarregat i la consideració d’encarregat de tractament de l’Ajuntament de Barcelona.  Si l’altre encarregat incompleix les seves obligacions de protecció de dades, l’encarregat inicial seguirà sent plenament responsable davant de l’Ajuntament de Barcelona pel que respecta al compliment de les obligacions de l’altre encarregat.  El coneixement que tingui l'Administració dels subcontractes celebrats en virtut de les comunicacions a què es refereixen els apartats anteriors, no alteren la responsabilitat exclusiva del contractista principal. » 14