Contratación Pública CANTABRIA

Orden PRE/59/2018, de 2 de noviembre, por la que se regulan las condiciones sobre seguridad de la información y protección de datos personales a incorporar en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.

[sc name=”Guía del Interventor Municipal” ]
En el vigente marco legal resulta una obligación ineludible implementar medidas legales, organizativas y técnicas para enfrentarse al desafío de nuevas formas de delincuencia, que garanticen un funcionamiento seguro de los servicios de las administraciones públicas como los derechos de los ciudadanos en sus relaciones con estas cuanto se utilicen medios electrónicos y, por otro lado, garantizar también la protección de sus datos personales.
A este respecto, debe recordarse que desde hace tiempo existe la obligación de cumplir las previsiones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que fi jó la gestión de la seguridad como un proceso integral, que afecta a toda la organización y que debe contemplarse en todo el ciclo de vida de los sistemas de información, como asimismo, las exigencias de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
En cumplimiento de esas obligaciones legales esta Consejería aprobó la “Orden PRE/57/2016, de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los pliegos de cláusulas administrativas particulares y de prescripciones técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria”, que afrontaba la necesidad de proteger los sistemas de información y la información tratada en los contratos celebrados por nuestra Administración, incluidos los datos personales, fi jando los contenidos obligatorios que se debían incluir en los pliegos de contratación.
Ahora bien, con posterioridad se ha producido la entrada en vigor del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016), que establece en su artículo 25 que la protección de datos personales se contemple desde el diseño y por defecto, especifi cando en su artículo 28 que el tratamiento de datos personales por parte de los encargados debe regirse por un contrato u otro acto jurídico con arreglo al derecho de la Unión Europea o sus Estados miembros.
Con la entrada en pleno vigor del Reglamento General de Protección de Datos y la experiencia acumulada en la aplicación de la citada Orden, se ha elaborado este nuevo texto legal, que permitirá a los órganos directivos de nuestra Administración cumplir con sus obligaciones en materia de seguridad de la información y la protección de datos personales, relativas a la contratación y a su relación con entidades o personas del sector privado que vayan a ejercer de encargados del tratamiento de datos personales, a realizar operaciones con otros tipos de información, o que vayan a ofrecer servicios o suministrar elementos tecnológicos.
También se contempla el tratamiento de los datos personales que se recojan en los propios contratos sobre las personas responsables, representantes o de contacto para su ejecución. Lo que supone que el ámbito de aplicación de la presente orden es global, al afectar a todos los contratos que realizará la nuestra Administración, aunque el contenido a incorporar a los pliegos será proporcional a la envergadura de los datos personales que se tratarán, la importancia de la información que el adjudicatario manejará y, en su caso, las características de los servicios o suministros que formen parten del objeto del contrato.
Así, la presente Orden sustituye a la Orden PRE/57/2016, de 14 de septiembre, fi jando los contenidos obligatorios para el cumplimiento de los aspectos relativos a la contratación fi jados
i boc.cantabria.esPág. 28752
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
2/29
CVE-2018-9742
por el Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos, estando estrictamente alineada con el “Decreto 31/2015, de 14 de mayo, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria”.

DISPONGO

CAPÍTULO I

Disposiciones generales

Artículo 1. Objeto.
1. El objeto de la presente orden es defi nir los contenidos mínimos obligatorios relativos a seguridad de la información y protección de datos personales a incorporar en los Pliegos de Cláusulas Administrativas Particulares y Pliegos de Prescripciones Técnicas en los contratos de servicios o suministros cuyo objeto incluya:
a) El tratamiento de información, y en particular de datos personales, bajo responsabilidad de la Administración de la Comunidad Autónoma de Cantabria.
b) El acceso a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
c) El suministro de soluciones informáticas y, en particular, de aplicaciones realizadas a medida.
d) El suministro de componentes tecnológicos o de elementos de los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
2. También serán objeto de esta Orden aquellos otros contratos:
a) En los que pueda producirse un acceso fortuito a información Administración de la Comunidad Autónoma de Cantabria.
b) También para cualquier contrato que incluya a responsables, representantes o personas de contacto para su ejecución.

Artículo 2. Ámbito de aplicación.
De conformidad con las previsiones del Decreto 31/2015, de 14 de mayo, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria esta orden será de aplicación:
a) A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, a estos efectos, a la Administración General y los organismos públicos y entidades de derecho público vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas y utilicen sistemas de información gestionados por el órgano directivo con competencias en materia informática, así como cuando contraten servicios tecnológicos en la nube. Quedan excluidos del ámbito de aplicación de la presente orden el Servicio Cántabro de Salud y el sector público empresarial y fundacional.
b) A las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuándo procedan al uso de sistemas de información gestionados por el órgano directivo con competencias en materia informática, o cuando utilicen servicios tecnológicos ofrecidos en formato nube.

Artículo 3. Delimitación del concepto de información a proteger y tipos de tratamiento de la información objeto de regulación en los pliegos.
1. La información a proteger a la que hacen referencias las cláusulas reguladas en los siguientes artículos estará referida a cualquier dato, conocimiento o técnica recogida en so
i boc.cantabria.esPág. 28753
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
3/29
CVE-2018-9742
portes tanto tecnológicos como no tecnológicos, que sea propiedad de la Administración de la Comunidad Autónoma de Cantabria o que esté tratando, incluida la simple recogida y almacenamiento, para el cumplimiento de sus competencias y obligaciones legales. Esto incluye los datos sobre personas físicas, que se denominarán datos personales o datos de carácter personal.
No es necesario proteger y, por lo tanto, no será necesario incluir cláusulas en los pliegos de contratación correspondientes para ese fi n, los datos, conocimientos o técnicas que vayan a ser utilizados por el órgano de contratación o el adjudicatario procedentes de fuentes públicas de información: textos normativos, publicaciones científi cas, técnicas o profesionales, información de medios de comunicación, información difundida públicamente por otras entidades o información de dominio público.
2. Por tratamiento de la información se entenderá cualquier operación o conjunto de operaciones realizadas sobre la información, incluyendo entre otras la recogida, el almacenamiento, la consulta, la modifi cación, la transferencia o la difusión.
Se considerará tratamiento automatizado aquel tratamiento que emplee tecnología y en el que las operaciones sobre la información se realizan automáticamente, como sucede al emplear aplicaciones informáticas de gestión.
Se considerará tratamiento no automatizado aquel en que las operaciones se realizan con la intervención directa de una persona, que ejecuta directamente o controla todos los detalles del proceso y toma todas las decisiones, ya sea empleando tecnología tradicional o herramientas informáticas de manera meramente auxiliar.
Se considerará tratamiento mixto a aquel tratamiento de la información que combine operaciones automáticas y operaciones no automáticas.
Cuando en la presente orden no se hagan distinciones específi cas sobre el tipo de tratamiento, se entenderá que lo estipulado aplicará a cualquier de los tres tipos de tratamiento.

CAPÍTULO II

Contenidos obligatorios en los Pliegos de Cláusulas Administrativas Particulares

Artículo 4. Contratos de prestación de servicios o suministros cuyo objeto no implique el acceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
En aquellos contratos de prestación de servicios en los que su objeto no incluye el tratamiento de información de la Administración de la Comunidad Autónomas ni su personal tiene que acceder a sus sistemas de información, se deberán incluir las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2º del Anexo I, sobre acceso fortuito a información.
En aquellos contratos de suministros no tecnológicos (que no se correspondan con el suministro de aplicaciones software, dispositivos hardware o componentes tecnológicos), habrá que incorporar también esas dos cláusulas.

Artículo 5. Contratos cuyo objeto incluye el tratamiento de información.
1. En aquellos contratos en cuyo objeto se incluya el tratamiento de información de la Administración de la Comunidad Autónoma de Cantabria, de cualquier tipo, incluyendo el tratamiento de datos personales, se deberán incorporar las siguientes cláusulas:
i boc.cantabria.esPág. 28754
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
4/29
CVE-2018-9742

a) Copia literal del contenido de las cláusulas del apartado 1º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2º del Anexo I, sobre acceso fortuito a información.
c) Texto adaptado de las cláusulas del subapartado 3º.a del Anexo I, especifi cando los porcentajes de las penalidades a aplicar relacionadas con incidentes de seguridad de la información.
d) Copia literal del contenido de las cláusulas del subapartado 3º.b del Anexo I, sobre incidentes de seguridad relacionados con el tratamiento de información.
e) Copia literal del contenido de las cláusulas del subapartado 3º.e del Anexo I, sobre los niveles de los incidentes de seguridad que afecten a la reputación de la Comunidad Autónoma de Cantabria.
f) Copia literal del contenido de las cláusulas del apartado 4º del Anexo I, sobre información base, propiedad del resultado de los trabajos, requisitos de seguridad de la información del Pliego de Prescripciones Técnicas y sobre subcontrataciones.
2. En aquellos contratos en cuyo objeto se incluya el tratamiento de datos personales, además de lo señalado en el artículo 5.1, se deberán incorporar las siguientes cláusulas:
a) Copia literal del contenido de la cláusula su subapartado 3º.c del Anexo I, sobre los niveles de los incidentes de seguridad relacionados con el tratamiento de información para el caso particular del tratamiento de datos personales.
b) Copia literal del contenido de las cláusulas del apartado 6º del Anexo I, específi cas sobre el tratamiento de datos personales.

Artículo 6. Contratos cuyo objeto implique el acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria por parte del personal del adjudicatario.
Si el personal del adjudicatario deberá tener acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria para el cumplimiento del objeto del contrato, se deberán incluir en el Pliego de Cláusulas Administrativas Particulares las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2º del Anexo I, sobre acceso fortuito a información.
c) Texto adaptado de las cláusulas del subapartado 3º.a del Anexo I, especifi cando los porcentajes de las penalidades a aplicar relacionadas con incidentes de seguridad de la información.
d) Copia literal del contenido de las cláusulas del subapartado 3º.d del Anexo I, sobre los niveles de los incidentes de seguridad relacionados con el acceso a sistemas de información.
e) Copia literal del contenido de las cláusulas del subapartado 3º.e del Anexo I, sobre los niveles de los incidentes de seguridad que afecten a la reputación.
f) Copia literal de las cláusulas del apartado 5º del Anexo I, relativas al acceso a sistemas de información por parte del personal del adjudicatario.
g) Si el acceso al sistema de información implica el acceso a información, incluir las cláusulas indicadas en el artículo 5, salvo que ya hayan sido incluidas.

Artículo 7. Contratos cuyo objeto corresponda al suministro de aplicaciones software realizadas a medida y su periodo de mantenimiento correspondiente.
i boc.cantabria.esPág. 28755
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
5/29
CVE-2018-9742

Se deberán incluir en el Pliego de Cláusulas Administrativas Particulares las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2º del Anexo I, sobre acceso fortuito a información.
c) Copia literal del contenido de las cláusulas del apartado 4º del Anexo I, sobre información base, propiedad del resultado de los trabajos, requisitos de seguridad de la información del Pliego de Prescripciones Técnicas y sobre subcontrataciones.
d) Copia literal del contenido de las cláusulas del apartado 7º, sobre los productos software que forman parte del objeto del contrato.
e) Si para el cumplimiento del objeto del contrato el personal del adjudicatario accederá a información de la Administración de la Comunidad Autónoma de Cantabria, deberán incluirse las cláusulas que se indican el artículo 5, salvo aquellas que ya hayan sido incluidas.
f) Si para el cumplimiento del objeto del contrato el personal del adjudicatario accederá a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, deberán emplearse las cláusulas que se han establecido en el artículo 6, salvo aquellas que ya hayan sido incluidas.

Artículo 8. Contratos cuyo objeto corresponda a la prestación de un soporte tecnológico avanzado.
Un soporte tecnológico avanzado es un conjunto de servicios de alta complejidad técnica, prestados por personal de alta cualifi cación, destinados a garantizar el funcionamiento de los sistemas de información, su mantenimiento correctivo y evolutivo, así como su adaptación al cumplimiento de la legislación que corresponda en cada caso, incluyendo el cumplimiento de obligaciones en materia de seguridad de la información, con la protección de datos personales como caso particular, y en materia de interoperabilidad. En ocasiones se incluyen servicios de asesoramiento y formación para el personal de la Administración encargado de administrar u operar los sistemas de información destinatarios de esos servicios.
Se deberán incluir en el Pliego de Cláusulas Administrativas Particulares las mismas cláusulas que se indicaron en el artículo 7.

Artículo 9. Contratos cuyo objeto implique el suministro de aplicaciones comerciales o de elementos hardware, así como la subscripción a servicios tecnológicos.
1. En aquellos contratos cuyo objeto implique el suministro de aplicaciones comerciales, y por lo tanto no realizadas a medida, o el suministro de elementos hardware, así como la subscripción a servicios tecnológicos, se deberán incorporar las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2º del Anexo I, sobre acceso fortuito a información.
2. En el caso de tratarse de aplicaciones comerciales o elementos hardware, incluir también la cláusula del apartado 8º.1 del Anexo I.
3. En el caso de la subscripción a servicios tecnológicos, incluir la cláusula de apartado 8º.2 del Anexo I.
4. En el caso de recambios, piezas o fungibles bastará con incluir las cláusulas de los puntos 1.a y 1.b. del presente artículo, salvo que consideraciones técnicas del objeto del contrato en particular aconsejen incluir la cláusula señalada en su punto 2.
i boc.cantabria.esPág. 28756
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
6/29
CVE-2018-9742

Artículo 10. Contratos integrales de soporte tecnológico y otros tipos de objeto del contrato relacionados con la tecnología.
Los contratos integrales de soporte tecnológico incluyen en su objeto una gran variedad de elementos, tanto de prestación de servicios o de suministros, que pueden abarcar uno o varios de los tipos que se han identifi cado en los artículos 4 a 9.
Las cláusulas a recoger en los Pliegos de Cláusulas Administrativas Particulares de este tipo de contratos, dependerán de cada caso particular y se deberán escoger aquellas que se han especifi cado en los artículos 4 a 9 de la presente orden, según sus características y alcance particulares.
También para otros tipos de objeto de contrato, diferentes a los recogidos en los artículos 4 a 9 de la presente orden, habrá que estudiar la casuística particular y utilizarse las cláusulas más adecuadas de entre las propuestas en esos artículos.

CAPÍTULO III

Contenidos obligatorios en los Pliegos de Prescripciones Técnicas

Artículo 11. Contratos de prestación de servicios cuyo objeto no implique el acceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
No resultará necesario incluir ningún contenido en particular, bastando lo especifi cado en el Pliego de Cláusulas Administrativas Particulares, salvo que el autor del pliego considere su necesidad, dadas las características concretas del objeto del contrato.

Artículo 12. Contratos cuyo objeto incluye el tratamiento de información.
En aquellos contratos en cuyo objeto se incluya el tratamiento de información, entendiendo por tal lo defi nido en el artículo 3 de la presente orden, se incluyan o no datos personales, se deberán emplear las siguientes cláusulas:
a) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 1º del Anexo II de la presente orden, sobre Acuerdos de Nivel de Servicio.
b) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 2º del Anexo II de la presente orden, sobre interlocución entre las partes.
c) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 3º.a. del Anexo II de la presente orden, sobre el tratamiento de cualquier tipo de información.
Si el objeto del contrato incluyera el tratamiento de datos personales, además se deberá incorporar:
d) Si el tratamiento de información, incluye el tratamiento de datos personales, se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 3º.b. del Anexo II de la presente orden.
Si el tratamiento se realiza sin ser un servicio prestado en formato nube, se debe incorporar:
e) El desarrollo del contenido de las cláusulas especifi cadas en el apartado 4º del Anexo II de la presente orden, sobre la prestación de servicios informáticos, excluidos los servicios en la nube.
Si el tratamiento se realiza mediante un servicio tipo nube, se debe incorporar:
f) El desarrollo del contenido de las cláusulas especifi cadas en el apartado 5º del Anexo II de la presente orden, sobre la prestación de servicios informáticos en la nube.

Artículo 13. Contratos cuyo objeto implique el acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria por parte del personal del adjudicatario.
i boc.cantabria.esPág. 28757
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
7/29
CVE-2018-9742

Si el personal del adjudicatario deberá tener acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria para el cumplimiento del objeto del contrato, se deberán incluir en el Pliego de Prescripciones Técnicas el desarrollo de los contenidos especifi cados en el apartado 4º del Anexo II.
Si el personal del adjudicatario además accediera a información, también deberá tener en cuenta lo indicado en el artículo 12.

Artículo 14. Contratos cuyo objeto implique suministro de aplicaciones software realizadas a medida.
Se deberán incluir en el Pliego de Prescripciones Técnicas el desarrollo de los contenidos que se especifi can en las siguientes cláusulas:
a) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 1º del Anexo II de la presente orden, sobre Acuerdos de Nivel de Servicio, si bien bastará con aludir a la planifi cación de hitos del proyecto, los mecanismos de seguimiento sobre su correcta ejecución y el régimen de penalidades que corresponda.
b) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 2º del Anexo II de la presente orden, sobre interlocución entre las partes.
c) Si el personal de adjudicatario necesitara tratar información real y no anonimizada de la Administración de la Comunidad Autónoma, deberá incluirse las cláusulas que se han establecido en el artículo 12, salvo que ya hayan sido incluidas.
d) Si el personal de adjudicatario necesitara acceder a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, deberá incluirse las cláusulas que se han establecido en el artículo 13, salvo que ya hayan sido incluidas.
e) Desarrollar el contenido de las cláusulas del subapartado 6º.1. del Anexo II, sobre contratos cuyo objeto incluya el suministro de aplicaciones software realizadas a medida destinadas a tratar cualquier tipo de información.
f) Si aplicación se utilizará para tratar datos personales, también se deberá desarrollar el contenido de las cláusulas del subapartado 6º.2. del Anexo II, sobre aplicaciones software realizadas a medida destinadas a tratar datos personales.

Artículo 15. Contratos cuyo objeto incluya la prestación de un soporte tecnológico avanzado.
Se deberán incluir en el Pliego de Prescripciones Técnicas el desarrollo de los contenidos que se especifi can en las siguientes cláusulas:
a) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 1º del Anexo II de la presente orden, sobre Acuerdos de Nivel de Servicio.
b) Se deberá desarrollar el contenido de las cláusulas especifi cadas en el apartado 2º del Anexo II de la presente orden, sobre interlocución entre las partes.
c) Si el personal del adjudicatario necesitara tratar información real y no anonimizada de la Comunidad Autónoma, deberán incluirse las cláusulas que se han establecido en el artículo 12, salvo que ya hayan sido incluidas.
d) Si el personal de adjudicatario necesitara acceder a sistemas de información de la Comunidad Autónoma de Cantabria, deberán incluirse las cláusulas que se han establecido en el artículo 13, salvo que ya hayan sido incluidas.

Artículo 16. Contratos cuyo objeto implique suministro de aplicaciones comerciales o de elementos hardware, así como subscripción a servicios tecnológicos.
En aquellos contratos cuyo objeto implique el suministro de aplicaciones comerciales, y por lo tanto no realizadas a medida, o el suministro de elementos hardware, así como en los contratos de tipo “subscripción” en los cuales se tiene acceso a ciertos servicios o al uso de ciertos elementos tecnológicos durante el periodo de vigencia del contrato, se deberán incorporar:
i boc.cantabria.esPág. 28758
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
8/29
CVE-2018-9742

a) Desarrollar el contenido de la cláusula del apartado 7º del Anexo II, sobre contratos cuyo objeto incluye el suministro de aplicaciones comerciales o elementos hardware, así como subscripción a servicios tecnológicos.
En el caso de recambios, piezas o fungibles no será necesario incluir las cláusulas del apartado a) del presente artículo, salvo que consideraciones técnicas del objeto del contrato en particular así lo aconsejen.

Artículo 17. Contratos integrales de soporte tecnológico y otros tipos de objeto del contrato relacionados con la tecnología.
Dado que los contratos integrales de soporte tecnológico incluyen en su objeto aspectos correspondientes a los diferentes tipos recogidos en los artículos 11 a 16 de la presente orden, se deberán considerar e incluir en el Pliego de Prescripciones Técnicas todos aquellos aspectos de esos artículos que se correspondan a las características y alcances particulares del contrato.
Así mismo, en contratos cuyo objeto tenga relación con la tecnología, pero no se corresponda con los tipos recogidos en los artículos 11 a 15 de la presente orden, se deberán considerar e incluir en el Pliego de Prescripciones Técnicas todos aquellos aspectos de esos artículos que correspondan a las características y alcances específi cos del contrato en particular.

CAPÍTULO IV

Otros contenidos obligatorios

Artículo 18. Contenidos obligatorios para otros tipos de contratos.
En los contratos cuyo objeto se incluyan varios de los tipos que se han identifi cado en los artículos precedentes de los Capítulos II y III de la presente orden, se deberán incluir todos los contenidos que correspondan a cada uno de ellos.

Artículo 19. Procedimiento de adjudicación de contrato menor.
En el caso de que el procedimiento de adjudicación utilizado sea el de contrato menor, previamente a la Resolución de adjudicación o de su encargo formal, el adjudicatario deberá suscribir un documento de conformidad, de acuerdo con el modelo incluido en el Anexo III que deberá incorporarse al expediente administrativo, por el cual éste asume las obligaciones y condiciones sobre seguridad de la información y de los sistemas de información, establecidas tanto en el Capítulo II como en el Capítulo III de la presente orden, conforme las necesidades concretas y específi cas de cada contrato.

Disposición adicional única. Contratos destinados a la Administración de Justicia en Cantabria.
En los contratos cuyo objeto esté destinado a la Administración de Justicia en Cantabria, se deberá tener en cuenta en Esquema Judicial de Interoperabilidad y Seguridad, complementando o adaptando los contenidos especifi cados en los artículos de las Capítulos II y III de la presente Orden.

Disposición derogatoria única.
La entrada en vigor de la presente orden deroga cualquier disposición de igual rango o inferior que se oponga a su contenido. Y en particular, queda derogada la Orden PRE/57/2016, de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.
i boc.cantabria.esPág. 28759
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
9/29
CVE-2018-9742

Disposición fi nal primera. Desarrollo de guías informativas sobre cláusulas contractuales en materia de seguridad de la información y protección de datos personales.
Se faculta al órgano directivo con competencias en materia informática y al responsable de seguridad de la información para elaborar guías informativas, plantillas o modelos tipo, destinados a facilitar la redacción de los pliegos de contratación.

Disposición fi nal segunda. Entrada en Vigor.
La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Ofi cial de Cantabria.

Santander, 2 de noviembre 2018.
El consejero de Presidencia y Justicia,
Rafael de la Sierra González.
i boc.cantabria.esPág. 28760
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
10/29
CVE-2018-9742

ANEXO I

Contenidos a los Pliegos de Cláusulas Administrativas Particulares

1º.- Cláusula relativa a datos personales de los responsables, representantes o personas de contacto de las partes:
– Protección de datos de carácter personal relativos a la gestión del contrato:
Ambas partes quedan informadas que los datos de representantes o personas de contacto de las mismas, incluidos en el presente contrato o facilitados entre ellas con motivo de su ejecución, serán objeto de tratamiento de datos personales por cada una de ellas, con la finalidad de realizar la gestión de la relación contractual.
Cada parte dará la información oportuna sobre el tratamiento a los titulares de tales datos y les reconoce la posibilidad de ejercitar gratuitamente los derechos que la legislación vigente en materia de protección de datos personales otorga a los interesados.

2º.- Cláusulas sobre acceso fortuito a información:
– Deber de confidencialidad en el acceso fortuito a información:
– Si el adjudicatario accediera fortuitamente a información de la Administración de la Comunidad Autónoma de Cantabria que no esté relacionada con el objeto del contrato tiene obligación de guardar estricta confidencialidad sobre la misma e informar al órgano de contratación sobre el hecho acontecido.
– El adjudicatario deberá informar fehacientemente a su personal sobre esta obligación.

3º.- Cláusulas sobre penalidades:
En los siguientes subapartados se incluyen cláusulas relacionadas con las penalidades a aplicar en caso de incidentes de seguridad de la información producidos por responsabilidad del adjudicatario. Como hay diferentes situaciones que pueden aplicar o no a cada contrato en particular, se ha realizado esta división en subapartados. Se debe tener en cuenta que cuando se utiliza la exprHVLyQ ³LQFLGHQWHV GH VHJXULGDG GH OD LQIRUPDFLyQ´ VH está abarcando cualquier tipo de incidente, incluidos los referidos al tratamiento de datos personales y, por lo tanto, esas cláusulas también se deben e emplear para este tipo de tratamientos. Las cláusulas del apartado 3.c son específicas para el caso del tratamiento de datos personales y en su título se ha incluido OD H[SUHVLyQ ³WUDWDPLHQWR GH LQIRUPDFLyQ SDUD HO FDVR SDUWLFXODU GHO WUDWDPLHQWR GH GDWRV SHUVRQDOHV´

3º.a.- Cláusulas sobre porcentajes de las penalidades a aplicar por incidentes de seguridad de la información:
Nota: Al traspasar esta cláusula al Pliego de Cláusulas Administrativas Particulares, deberán especificarse los porcentajes concretos a aplicar para el contrato que se esté redactando. Para determinar HVRV YDORUHV VH GHEHUi WHQHU HQ FXHQWD HO FRQWHQLGR GHO DUWtFXOR
³,QFXPSOLPLHQWR SDUFLDO R FXPSOLPLHQWR GHIHFWXRVR´
GH OD ³/H GH GH QRYLHPEUH GH &RQWUDWRV GHO 6HFWRU 3~EOLFR SRU OD que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 8( 8( GH GH IHEUHUR GH ´ 7DPELpQ GHEHUi GHWHUPLQDUVH VL OD SHQDOLGDG VH aplicará al importe de la factura correspondiente al período en el que tiene lugar el incumplimiento o al SUHFLR GHO FRQWUDWR (VRV YDORUHV D GHWHUPLQDU HVWiQ VHxDODGRV FRQ FRUFKHWHV
³> @´

– Régimen de penalidades complementario al establecido con carácter general para el presente contrato: porcentajes a aplicar.
i boc.cantabria.esPág. 28761
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
11/29
CVE-2018-9742
1.- El órgano de contratación estará facultado para la imposición de las siguientes penalidades asociadas al incumplimiento de obligaciones relativas a seguridad de la información contenida en este Pliego de Cláusulas Administrativas Particulares y/o en el Pliego de Prescripciones Técnicas.
2.- Cuando el incumplimiento por parte del adjudicatario pudiera dar origen a un incidente correspondiente a la siguiente escala de niveles:
a) Alto, la penalidad será del [PORCENTAJE]%
b) Medio, la penalidad será del [PORCENTAJE]%
c) Básico, la penalidad será del [PORCENTAJE]%
Este porcentaje se aplicará sobre [el importe de la factura correspondiente al período en el que tiene lugar el incumplimiento / el precio del contrato].
3.- Si, una vez impuestas 3 penalidades de nivel bajo, 2 de nivel media o 1 de nivel alto, se produjera un nuevo incumplimiento del mismo nivel, se impondrá una nueva penalidad por reiteración, que será del [PORCENTAJE]% sobre [el importe de la factura correspondiente al período en el que tiene lugar el incumplimiento / el precio del contrato].
Si, una vez impuesta la penalidad por reiteración, se produjera otro nuevo incumplimiento de cualquier nivel, el órgano de contratación estará facultado para proceder a la resolución del contrato.
Los incidentes de seguridad y las penalidades a aplicar seguirán los mismos criterios tanto si están relacionados con tratamientos automatizados, con tratamientos no automatizados o tratamientos mixtos.
En aquellos incidentes de seguridad en los que concurran varias circunstancias que permitirían determinar diferentes niveles según el criterio aplicable, se considerará del nivel más alto entre todos los posibles.

3º.b.- Cláusulas sobre los niveles de los incidentes de seguridad de la información relacionados con el tratamiento de información:
Se debe tener en cuenta que las cláusulas que se especifican a continuación afectan al tratamiento de cualquier tipo de información, incluidos los datos personales, sin perjuicio de que las cláusulas del apartado 4º de este Anexo aplique adicionalmente y de manera exclusiva al tratamiento de datos personales.
– Régimen de penalidades complementario al establecido con carácter general para el presente contrato: niveles de los incidentes de seguridad relacionados con el tratamiento de información:
– Los incidentes de seguridad que afecten a la confidencialidad o a la integridad de cualquier tipo de información alojada en sistemas de información, incluidos datos personales, se considerarán del nivel que se especifica a continuación para cada caso, teniendo como base los criterios de determinación de la categoría de los sistema de información del Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica:
– Se considerarán incidentes de seguridad de nivel ALTO, cuando estén afectados:
– 1 o más sistemas de información de categoría ALTA.
– Más de 10 sistemas de información de categoría MEDIA.
– Más de 50 sistemas de información de categoría BÁSICA o MEDIA.
– Se considerarán incidentes de seguridad de la información de nivel MEDIO, cuando se vean afectados:
– 1 o más sistemas de información de categoría MEDIA.
– Más de 20 sistemas de información de categoría BÁSICA.
– Se considerarán incidentes de seguridad de la información de nivel BÁSICO, cuando se vean afectados:
– 1 o más sistemas de información de categoría BÁSICA.
i boc.cantabria.esPág. 28762
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
12/29
CVE-2018-9742
3º.c.- Cláusulas sobre los niveles de los incidentes de seguridad de la información relacionados con el tratamiento de información para el caso particular del tratamiento de datos personales:
– Régimen de penalidades complementario al establecido con carácter general para el presente contrato: niveles de los incidentes de seguridad relacionados con el tratamiento de información para el caso particular del tratamiento de datos personales.
– Los incidentes de seguridad que afecte a la confidencialidad o a la integridad de datos personales y que entrañen un alto riesgo para los derechos de las personas físicas se consideran de nivel ALTO. Y en particular:
– Los que afecten a las categorías de datos especiales establecidas en el artículo 9.1 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016).
– Los que afecten a datos personales correspondientes a menores de edad, víctimas de violencia de género o víctimas del terrorismo.
– Los que permitan la elaboración de perfiles de comportamiento de las personas físicas.
– En el caso de los incidentes de seguridad que afecten a la confidencialidad e integridad de datos personales en casos diferentes a los especificados en la cláusula anterior, serán de aplicación los criterios fijados en las cláusulas relativas al tratamiento de información.

3º.d.- Cláusula sobre los niveles de los incidentes de seguridad de la información relacionados con el acceso a sistemas de información:
– Régimen de penalidades complementario al establecido con carácter general para el presente contrato: niveles de los incidentes de seguridad relacionados con tomas de control, alternaciones de la configuración o que afecten a las dimensiones de autenticidad o trazabilidad.
En base a los criterios del Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, para la determinación de la categoría de los sistemas de información, y en lo relativo a tomas de control, alteraciones de la configuración, así como alteración de las dimensiones de autenticidad y trazabilidad:
– Se considerarán incidentes de seguridad de nivel ALTO, cuando estén afectados:
– 1 o más sistemas de información de categoría ALTA.
– Más de 10 sistemas de información de categoría MEDIA.
– Más de 50 sistemas de información de categoría BÁSICA.
– Se considerarán incidentes de seguridad de la información de nivel MEDIO, cuando se vean afectados:
– 1 o más sistemas de información de categoría MEDIA.
– Más de 20 sistemas de información de categoría BÁSICA.
– Se considerarán incidentes de seguridad de la información de nivel BÁSICO, cuando se vean afectados:
– 1 o más sistemas de información de categoría BÁSICA.
– Régimen de penalidades complementario al establecido con carácter general para el presente contrato: niveles de los incidentes de seguridad que afecten a la dimensión de continuidad.
En base a los criterios del Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, para la determinación de la categoría de los sistemas de información, y en lo relativo a la dimensión de continuidad (suspensión del funcionamiento de los sistemas de información o impedimento para acceder a la información que contienen):
– Se considerarán incidentes de seguridad de nivel ALTO, cuando el incidente dure un tiempo superior a 24 horas y estén afectados:
i boc.cantabria.esPág. 28763
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
13/29
CVE-2018-9742
– 1 o más sistemas de información de categoría ALTA.
– Más de 10 sistemas de información de categoría MEDIA.
– Más de 50 sistemas de información de categoría BÁSICA.
– Se considerarán incidentes de seguridad de la información de nivel MEDIO, cuando el incidente dure más de 72 horas y se vean afectados:
– 1 o más sistemas de información de categoría MEDIA.
– Más de 20 sistemas de información de categoría BÁSICA.
– Se considerarán incidentes de seguridad de la información de nivel BASICO, cuando el incidente dure más de 96 horas y se vean afectados:
– 1 o más sistemas de información de categoría BÁSICA.

3º.e.- Cláusulas sobre los niveles de los incidentes de seguridad de la información que afecten a la reputación de la Administración de la Comunidad Autónoma de Cantabria:
– Régimen de penalidades complementario al establecido con carácter general para el presente contrato: niveles de los incidentes de seguridad que afecten a la reputación de la Administración de la Comunidad Autónoma de Cantabria.
– Los incidentes de seguridad que afecten a la reputación de la Comunidad Autónoma de Cantabria serán considerados:
– De nivel ALTO cuando se produzcan daños reputacionales de difícil reparación, con una amplia cobertura en los medios de comunicación y/o que afecten a la reputación de terceros.
– De nivel MEDIO, cuando se produzcan daños reputacionales apreciables, aunque reparables, con una amplia cobertura en los medios de comunicación y que no afecten a la reputación de terceros.
– De nivel BÁSICO, cuando se produzcan daños reputacionales puntuales, sin una amplia cobertura en los medios de comunicación y que no afecten a la reputación de terceros.

4º.- Cláusulas sobre información base, propiedad del resultado de los trabajos, requisitos de seguridad de la información del Pliego de Prescripciones Técnicas y sobre subcontrataciones:
– Información de base:
– La Administración de la Comunidad Autónoma de Cantabria facilitará al adjudicatario la información que solicite y sea necesaria para la correcta prestación de los servicios objeto del presente contrato.
– Propiedad del resultado de los trabajos:
Se deberá tener en cuenta la legislación vigente en materia de propiedad intelectual y propiedad industrial, estableciéndose para este contrato además las siguientes cláusulas:
– El adjudicatario reconoce expresamente que los datos a los que tenga acceso durante la ejecución del contrato son de exclusiva propiedad de la Administración de la Comunidad Autónoma de Cantabria, por lo que no podrá aplicarlos o utilizarlos con fines distintos a los previstos en el contrato de prestación de servicios.
– Si el contrato tiene por objeto el desarrollo y la puesta a disposición de productos protegidos por un derecho de propiedad intelectual o industrial llevarán aparejada la cesión de éste, para su uso, a la Administración de la Comunidad Autónoma de Cantabria. Los términos concretos de esta cesión podrán detallarse en el Pliego de Prescripciones Técnicas o en un acuerdo entre las partes.
– En todo caso, y aun cuando se excluya la cesión de los derechos de propiedad intelectual, el órgano de contratación podrá siempre autorizar el uso del correspondiente producto a los entes,
i boc.cantabria.esPág. 28764
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
14/29
CVE-2018-9742
organismos y entidades pertenecientes al sector público a que se refiere el artículo 3.1 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
– Todos los documentos y resultados de los trabajos realizados serán propiedad de la Administración de la Comunidad Autónoma de Cantabria, que podrá utilizarlos, reproducirlos, modificarlos o divulgarlos total o parcialmente.
– Requisitos de seguridad de la información y de los sistemas de información del Pliego de Prescripciones Técnicas:
– El adjudicatario tiene la obligación de respetar y cumplir los requisitos en materia de seguridad y de seguridad de la información que estén incluidos en el Pliego de Prescripciones Técnicas.
– Subcontrataciones:
– En el caso de subcontrataciones, en los términos permitidos para el presente contrato, el adjudicatario deberá garantizar el mismo grado de cumplimiento de las obligaciones y garantías de seguridad de la información incluidas en este pliego.

5º.- Cláusulas relativas al acceso a sistemas de información por parte del personal del adjudicatario:
– Seguridad en el acceso a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria
Si la prestación de los servicios asociados al presente contrato implica el acceso a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria:
– El adjudicatario deberá informar de forma fehaciente al personal adscrito a la ejecución del contrato, que vaya a acceder a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, sobre las cláusulas de confidencialidad y seguridad del presente pliego, sobre la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria, así como de las normas de seguridad de la información o procedimientos de seguridad de la información que les afecten.
– El adjudicatario, en lo relativo al contenido y alcance del presente contrato, deberá aceptar la realización de auditorías sobre seguridad de la información por parte de la Administración de la Comunidad Autónoma de Cantabria.
– El adjudicatario y el personal adscrito a la ejecución del contrato deberán informar a la Administración de la Comunidad Autónoma de Cantabria de aquellos incidentes de seguridad o debilidades potenciales, que detecten durante la prestación del mismo.
– Por norma general, la asignación de credenciales será individualizada, con un uso estrictamente personal e intransferible. De forma excepcional, en aquellos casos en que no pueda realizarse una asignación individualizada de credenciales, debido a las características del servicio, debe quedar identificada singularmente cada persona que haga uso de las credenciales de acceso al sistema. Para ello el adjudicatario deberá:
– Establecer los mecanismos internos que sean oportunos para contar con un listado permanentemente actualizado de las personas que utilicen cada credencial de acceso no individualizada en cada momento, para que la trazabilidad quede garantizada.
– Proporcionar a la Administración de la Comunidad Autónoma de Cantabria, siempre que lo solicite, información precisa de las personas que han utilizado cada credencial de acceso no individualizada en un momento dado o a lo largo de cierto periodo.
– Velar por que cada credencial no individualizada exclusivamente sea accesible o conocida por el personal que va a prestar el servicio, el cual deberá estar informado sobre la obligación de no entregar o revelar la credencial a ninguna otra persona.

6º.- Cláusulas específicas sobre el tratamiento de datos personales
Obligaciones para la protección de datos de carácter personal a ejercer por el encargado del tratamiento:
i boc.cantabria.esPág. 28765
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
15/29
CVE-2018-9742
Responsable del Tratamiento
La Administración de la Comunidad Autónoma de Cantabria determinará el Responsable del Tratamiento para cada tratamiento de datos de carácter personal, en base a su Política de Seguridad de la Información, y lo comunicará al adjudicatario tras la formalización del contrato y antes de que ejerza la función de Encargado del Tratamiento.
Encargado del Tratamiento
Si en el desarrollo de los términos de este contrato el adjudicatario tratara datos de carácter personal de la Administración de la Comunidad Autónoma de Cantabria, incluyendo el simple acceso o consulta, HVWDUi HMHUFLHQGR OD IXQFLyQ GH ³(QFDUJDGR GHO 7UDWDPLHQWR´ HQ FRQVHFXHQFLD GHEHUi WHQHU HQ FXHQWD
– El Encargado del Tratamiento podrá adoptar las decisiones organizativas y operacionales internas necesarias para la prestación del servicio objeto del contrato. Si bien en ningún caso podrá variar las finalidades y usos de los datos personales, ni podrá utilizarlos para sus propias finalidades.
– El adjudicatario únicamente tratará los datos de carácter personal conforme a las instrucciones que reciba del Responsable del Tratamiento.
– El adjudicatario no aplicará ni utilizará los datos de carácter personal con fines distintos a los previstos en el presente contrato.
– El adjudicatario no comunicará los datos de carácter personal a los que tenga acceso en virtud del presente contrato, ni siquiera para su conservación, a otras personas, a excepción de los organismos públicos o entidades privadas a las que deba dirigirse en estricto cumplimiento de la ley o de las funciones encomendadas por la Administración de la Comunidad Autónoma de Cantabria, salvo autorización expresa del Responsable del Tratamiento.
– Cuando los afectados ejercitasen sus derechos ante un Encargado del Tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud al responsable en el plazo máximo de 7 días naturales, a fin de que por el mismo se resuelva, a menos que en la relación existente con el Responsable del Tratamiento, que se haya especificado en el Pliego de Prescripciones Técnicas, se prevea precisamente que el encargado atenderá, por cuenta del Responsable del Tratamiento, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición.
– En el caso de que la prestación de servicios se haga en locales del órgano de contratación, según lo que se establezca en el Pliego de Prescripciones Técnicas:
– El Encargado del Tratamiento así como el personal adscrito a la ejecución del contrato estará obligado a cumplir las medidas previstas por el Responsable del Tratamiento para los datos a los que tenga acceso y, en particular, las que regulen su acceso y actividad en los locales del órgano de contratación.
– El Encargado del Tratamiento así como el personal adscrito a la ejecución del contrato, no podrá almacenar los datos en dispositivos portátiles o tratarlos fuera de los locales del adjudicatario, sin autorización expresa y por escrito, y se deberá garantizar el nivel de seguridad a aplicar atendiendo a la naturaleza de los datos tratados.
– En el caso de que la prestación de servicios se realice de forma remota, según lo que se establezca en el Pliego de Prescripciones Técnicas:
– Queda prohibido incorporar los datos de tratamiento a sistemas o soportes distintos a los del órgano de contratación.
– El Encargado del Tratamiento así como el personal adscrito a la ejecución del contrato estará obligado a cumplir las medidas previstas por el Responsable del Tratamiento para los datos a los que tenga acceso.
– El Encargado del Tratamiento así como el personal adscrito a la ejecución del contrato no podrá almacenar los datos en dispositivos portátiles o tratarlos fuera de sus propios locales, sin autorización expresa y por escrito del órgano de contratación, y se deberá garantizar el nivel de seguridad a aplicar atendiendo a la naturaleza de los datos tratados.
– En el caso de que la prestación de servicios se realice en los locales de adjudicatario, según lo que se establezca en el Pliego de Prescripciones Técnicas:
i boc.cantabria.esPág. 28766
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
16/29
CVE-2018-9742
– El Encargado del Tratamiento deberá documentar convenientemente y contemplar en sus procedimientos de seguridad, y en el Documento de Seguridad si tiene la obligación de disponer de él, la identidad del órgano de contratación, los tratamientos de datos personales que realizará, incluido el simple acceso a esos datos, y las medidas que debe implementar para la debida protección de los datos personales vinculados a esos tratamientos.
– El Encargado del Tratamiento llevará, por escrito, un registro de todas categorías de actividades del tratamiento efectuadas por cuenta del Responsable del Tratamiento, que contendrá al menos:
– El nombre y los datos de contacto del Encargado o Encargados del Tratamiento y de cada responsable por cuenta del cual actúe el encargado, y en su caso, del representante del responsable o del Encargado del Tratamiento y del Delegado de Protección de Datos.
– Las categorías de tratamientos efectuados por cuenta de cada Responsable del Tratamiento.
– En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016), la documentación de garantías adecuadas.
– Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
– La seudonimización (según la definición del artículo 4.5 del Reglamento General de Protección de Datos) y el cifrado de datos personales.
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
– La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
-El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Subcontrataciones y/o accesos de terceros – La posibilidad de realizar subconWUDWDFLRQHV HVWi GHWHUPLQDGD SRU HO DSDUWDGR ³68%&2175$7$&,Ï1´ del presente Pliego de Cláusulas Administrativas Particulares. En el caso de estar permitidas, será de aplicación lo estipulado en los siguientes puntos.
– En el caso de que un tercero trate datos personales por cuenta del adjudicatario, ejerciendo así de Encargado del Tratamiento, deberán cumplirse los siguientes requisitos:
a) Cuando el Encargado del Tratamiento recurra a otro encargado, siempre dentro de los límites de subcontratación fijados en el presente Pliego de Cláusulas Administrativas Particulares, solicitará previamente la autorización por escrito, específica o general, del Responsable del Tratamiento.
a. Esta autorización se pedirá con al menos un mes de antelación, salvo que se especifique otro plazo en el Pliego de Prescripciones Técnicas o se llegue a un acuerdo entre las partes al respecto.
b. La solicitud de autorización deberá incluir datos precisos de la subcontratación a realizar, incluyendo los datos identificativos del subcontratista y el alcance de los trabajos subcontratados.
c. Además, impondrá al otro encargado de tratamiento, mediante contrato o acto jurídico con arreglo al derecho de la Unión de los Estados miembro, las mismas obligaciones de protección de datos personales establecidas en este Pliego de Cláusulas Administrativas Particulares o en el Pliego de Prescripciones Técnicas.
d. En el caso de recibir una autorización general, el Encargado del Tratamiento deberá informar al Responsable del Tratamiento sobre la incorporación o substitución de un subcontratista que vaya a realizar tratamientos de datos personales que forman parte del objeto del contrato, en cuyo caso el Responsable del Tratamiento podrá oponerse en el plazo máximo de 30 días, dentro del respeto a la legislación y de manera motivada relativa a la falta de garantías sobre el cumplimiento de las obligaciones legales en materia de protección de datos personales.
i boc.cantabria.esPág. 28767
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
17/29
CVE-2018-9742
b) Los subcontratistas, que tendrán la consideración de subencargados, estarán sujetos a las condiciones y obligaciones que el adjudicatario relativas al cumplimiento de las obligaciones legales y las condiciones establecidas en el presente Pliego de Cláusulas Administrativas Particulares y el Pliego de Prescripciones Técnicas, incluyendo, en particular lo referido al ejercicio de derechos por parte de los interesados.
c) El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones en materia de protección de datos personales. También permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable del Tratamiento o de un auditor autorizado por dicho responsable.
d) El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción infringe el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
e) El Encargado del Tratamiento, o cualquier persona que actúe bajo su autoridad, incluidas posibles subcontrataciones, y que tenga acceso a datos personales durante la ejecución del objeto del contrato, solo podrá tratar dichos datos siguiendo instrucciones del Responsable del Tratamiento, a no ser que estén obligados a ello en virtud del Derecho de la Unión Europea o sus estados miembros.
f) El adjudicatario del contrato será plenamente responsable del cumplimiento de las obligaciones correspondientes ante el órgano de contratación, incluso aunque se trate de un incumplimiento por parte de un subcontratista.
g) El adjudicatario notificará al Responsable del Tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas desde que sean detectadas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, se deberá aportar información relevante. Se facilitará, como mínimo, la información siguiente:
i. Descripción de la naturaleza de la violación de la seguridad de los datos personales, incluyendo información sobre las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. Si no fuera posible aportar información, se deberá justificar el motivo.
ii. El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto del adjudicatario que pueda aportar más información o al que se le puedan trasladar consultas.
iii. Descripción de las posibles consecuencias de la violación de la seguridad producida.
iv. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales. Se deberán incluir las acciones realizadas para mitigar los posibles efectos negativos de violación de seguridad que se ha producido.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual y con la mayor premura posible. (O DGMXGLFDWDULR UHDOL]DUi HVWD FRPXQLFDFLyQ PDUFiQGROD FODUDPHQWH FRPR ³85*(17(´ 3ara ello empleará la dirección de correo electrónico o el medio de comunicación que previamente se haya acordado para tal fin o, en su defecto, lo comunicará al responsable del contrato por parte de la Administración de la Comunidad Autónoma de Cantabria y a los interlocutores en materia de seguridad de la información y protección de datos personales que se hayan fijado.
Corresponderá al Responsable del Tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos que se produzcan relacionadas con el objeto del contrato o las actividades realizadas por su personal.
Corresponderá al Responsable del Tratamiento comunicar las violaciones de la seguridad de los datos a los interesados, cuando sea necesario. El adjudicatario prestará el apoyo necesario para que el Responsable del Tratamiento pueda realizar dicha comunicación en el menor tiempo posible.
h) Si el Encargado del Tratamiento considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016) o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembro, que esté en vigencia durante la duración del contrato, deberá informar inmediatamente al órgano de contratación.
i) El tercero conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento.
i boc.cantabria.esPág. 28768
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
18/29
CVE-2018-9742
Deber de confidencialidad
– El Encargado del Tratamiento garantizará que las personas autorizadas a tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad, mediante documento de confidencialidad a completar por cada una de ellas, con su firma auténtica y a entregar al órgano de contratación. Si bien será admisible sustituir esos documentos de confidencialidad por documentación que acredite que están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
Transferencias de datos personales
– Si el Encargado del Tratamiento estuviera obligado legalmente, por el Derecho de la Unión o de un Estado miembro, a transferir datos a un tercer país, deberá al informar al órgano de contratación ante llevar a cabo el tratamiento, salvo que tal derecho lo prohíba por razones importantes de interés público.
Devolución o destrucción de los datos
– Si la información a la que ha accedido el adjudicatario, conservando copia, o bien ha tratado, incluye datos de carácter personal, se seguirá lo estipulado en el Pliego de Prescripciones Técnicas al respecto.
– El Encargado del Tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el Responsable del Tratamiento.
– En cualquier caso, los datos personales deberán ser devueltos al Responsable del Tratamiento cuando se requiera su conservación, en virtud del Derecho de la Unión o de sus Estados miembro.
Medidas de seguridad de la información de los datos de carácter personal
– El adjudicatario, como Encargado del Tratamiento, está obligado a adoptar e implantar las medidas de seguridad de la información de índole técnica y organizativa necesarias, y, en particular, las que puedan estar recogidas en el Pliego de Prescripciones Técnicas referidas a la seguridad de la información, y de los datos personales en particular, que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana, del medio físico o natural.
Sobre la colaboración para demostrar el cumplimiento
– Obligatoriamente, el Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones en materia de protección de datos personales, permitiendo y contribuyendo a la realización de las auditorías que se hayan especificado en el Pliego de Prescripciones Técnicas, incluidas inspecciones realizadas directamente por personal del Responsable del Tratamiento o por auditores autorizados por él.
E) Responsabilidades del adjudicatario
– El adjudicatario responderá de las sanciones y de los daños y perjuicios causados por su incumplimiento de las obligaciones que la normativa en materia de protección de datos personales establece.
– En el caso de que el adjudicatario, como Encargado del Tratamiento, destine los datos a otra finalidad, los comunique o los utilice incumpliendo las cláusulas del presente contrato, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
– Ninguna parte asumirá responsabilidad alguna por cualquier incumplimiento por la otra parte de la normativa en materia de protección de datos.
F) Secreto profesional
– El adjudicatario se compromete a observar el deber de secreto profesional respecto de los datos personales objeto de tratamiento, manteniendo absoluta confidencialidad y reserva sobre ellos. Asimismo, se compromete a dar traslado al personal que intervenga en el tratamiento de tales datos, de su obligación de mantener secreto profesional respecto de los mismos y su deber de guardarlos. Estas obligaciones subsistirán aún después de finalizar la prestación contractual.

7º.- Cláusula sobre productos software que forman parte del objeto del contrato
– Sobre los productos software que forman parte del objeto del contrato
i boc.cantabria.esPág. 28769
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
19/29
CVE-2018-9742
Los productos software que forman parte del objeto de este contrato, serán propiedad de la Administración de la Comunidad Autónoma de Cantabria, que podrá utilizarlos, reproducirlos, modificarlos o divulgarlos total o parcialmente, sin obligación alguna de contabilizar o pagar royalties. Se exceptúan productos, parches (³IL[HV´
PDWHULDOHV SUHH[LVWHQWHV GHO DGMXGLFDWDULR

8º.- Cláusulas sobre contratos de suministro de aplicaciones comerciales o elementos hardware, así como subscripción a servicios tecnológicos.
8º.1.- Para el suministro de aplicaciones comerciales o elementos hardware.
– Requisitos de seguridad de la información y de los sistemas de información
El suministro debe ser compatible con los requisitos de seguridad de la información y de los sistemas de información que estén incluidos en el Pliego de Prescripciones Técnicas.
8º.2.- Para los servicios de subscripción.
– Requisitos de seguridad de la información y de los sistemas de información
Los servicios de subscripción y sus elementos, deben ser compatibles con los requisitos de seguridad de la información y de los sistemas de información que estén incluidos en el Pliego de Prescripciones Técnicas.

i boc.cantabria.esPág. 28770
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
20/29
CVE-2018-9742
ANEXO II

Contenidos destinados a los Pliegos de Prescripciones Técnicas

1º.- Cláusulas sobre Acuerdos de Nivel de Servicio.
Se deben desarrollar los siguientes contenidos:
1. Descripción de los Acuerdos de Nivel de Servicio, incluyendo los indicadores para su medición a utilizar y su posible modificación o actualización a lo largo del contrato.
2. Descripción de las penalidades a aplicar en caso de incumplimiento de los Acuerdos de Nivel de Servicio.
3. Los mecanismos para el seguimiento del cumplimiento de los Acuerdos de Nivel de Servicio.

2º.- Cláusulas sobre interlocución entre las partes.
Se deben desarrollar los siguientes contenidos:
1. La obligación de fijar interlocutores y comunicarlos, que desempeñen los siguientes cometidos para cada una de las dos partes: D
5HVSRQVDEOH GHO FRQWUDWR
FRUUHVSRQGLHQWH DO DUWtFXOR GH OD ³/H GH GH noviembre, de Contratos del Sector Público)
b) Responsable de Seguridad de la Información.
c) Persona de contacto para incidencias relativas a los indicadores de servicio.
2. Si el objeto del contrato incluirá el tratamiento de datos personales, la obligación de fijar y comunicar entre las partes la figura que desarrolle las funciones de Delegado de Protección de Datos, siempre y cuando su nombramiento resulte obligatorio o el adjudicatario haya procedido a nombrarlo de forma voluntaria.
Una misma persona podrá desempeñar uno o varios de los cometidos a que se refieren los apartados anteriores, siempre y cuando no exista una incompatibilidad legal en el ejercicio de esas funciones.

3º.- Cláusulas para contratos cuyo objeto incluye el tratamiento de información
El contenido a desarrollar de las cláusulas indicadas en el subapartado 3º.a. son el tratamiento de cualquier tipo de información. La indicadas en el subapartado 3º.b., son para el caso particular del tratamiento de datos personales, en cuyo caso también deberán incluirse las especificadas en el apartado 3º.a.
3º.a.- Cláusulas comunes para el tratamiento de cualquier tipo de información
Se deben desarrollar los siguientes contenidos:
1. Información sobre las categorías, dimensiones de seguridad de los sistemas de información y medidas de seguridad que el adjudicatario deba conocer, respetar o incluso implementar para el correcto cumplimiento del objeto del contrato, correspondientes al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
2. Los mecanismos de control y supervisión que utilizará el responsable del contrato para supervisar el cumplimiento de las obligaciones en materia de seguridad de la información, incluyendo la posibilidad de realizar auditorías periódicas. Se podrán tener en consideración que el adjudicatario disponga de certificados de conformidad oficiales.
i boc.cantabria.esPág. 28771
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
21/29
CVE-2018-9742
3. Especificaciones sobre la devolución o destrucción de información al finalizar el contrato almacenada por el adjudicatario, sin perjuicio de las consideraciones particulares que deban tenerse en cuenta si entre esa información se incluye datos personales.
3º.b.- Cláusulas específicas para el tratamiento de datos personales
a) Se deberá establecer el objeto, duración, naturaleza y finalidad del tratamiento o tratamientos a realizar, el tipo de datos personales y categorías de interesados y las obligaciones y responsabilidades del responsable. Se deberá tener en cuenta el tipo de servicio prestado por el adjudicatario y la forma en que se prestará.
b) Se deberá recoger de forma explícita el tipo de operaciones de tratamiento que realizará el adjudicatario, correspondientes a las indicadas en el artículo 4.2 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016).
c) Se deberán especificar las medidas de seguridad que el adjudicatario deba conocer, respectar o incluso implementar asociadas a este tratamiento de datos personales. Se deberán contemplar la conveniencia de incluir medidas como las siguientes (u otras complementarias o adicionales):
1. La seudoanimización (según la definición del artículo 4.5 del Reglamento General de Protección de Datos) y el cifrado de datos personales.
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia (capacidad para devolver los activos afectados por un incidente de seguridad a la situación previa a que este se produjera) permanentes de los sistemas y servicios de tratamiento.
3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en casos de incidente físico técnico.
4. Un proceso de verificación, evaluación y valoración regulares de la eficiencia de las medidas técnicas y organizativas para garantizar la seguridad de la información.
d) Se deberán especificar medidas que garanticen que cualquier persona que actúe bajo su autoridad, y tenga acceso a datos personales, solo podrá tratarlos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión de los Estados miembro.
e) Se deberán especificar las garantías que el adjudicatario deberá ofrecer sobre conocimientos especializados, fiabilidad y recursos, con vistas a la implementación de las medidas técnicas y organizativas que cumplan los requisitos del Reglamento General de Protección de Datos:
1. Se podrán establecer la entrega periódica de informes de estado, la exigencia de auditorías periódicas u otros mecanismos que ofrezcan esas garantías a criterio del autor del pliego, que deberá tener en consideración las obligaciones legales pertinentes.
2. La adhesión a códigos de conducta o la posesión de un certificado de protección de datos pueden servir como mecanismos de prueba.
f) Detallar, si fuera necesario, la forma en que el adjudicatario colaborará en el ejercicio de los derechos por parte de los interesados, perfeccionando lo especificado en el Pliego de Cláusulas Administrativas Particulares.
g) Especificar si al finalizar el contrato, el adjudicatario deberá suprimir o devolver los datos personales que tenga almacenados, incluyendo cualquier copia de la que disponga. Establecer también si debe devolverlos al Responsable del Tratamiento o a otro Encargado del Tratamiento que pueda designar en su momento.

4º.- Cláusulas para contratos cuyo objeto del contrato consiste en la prestación de servicios informáticos, excluidos los servicios en la nube:
Se deben desarrollar los siguientes contenidos:
1. Si el objeto del contrato incluye el tratamiento de información, aunque sea de simple acceso o consulta, se deberá incluir lo indicado en los apartados 1, 2 y 3 del presente Anexo II.
i boc.cantabria.esPág. 28772
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
22/29
CVE-2018-9742
2. La categoría del sistema o sistemas ligados a la prestación de los servicios objeto del contrato correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
3. El compromiso del adjudicatario de cumplir con las medidas de seguridad correspondientes a la categoría en lo que afecten a la prestación objeto del contrato, incluyendo un listado de las medidas que específicamente deben cumplir, con la descripción de los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso.
4. El compromiso del adjudicatario de cumplir con las medidas de seguridad correspondientes al tratamiento de datos personales que se pudiera realizar.
5. Los mecanismos de supervisión y control que empleará el responsable del contrato para verificar el cumplimiento de las obligaciones del adjudicatario en materia de seguridad de la información, incluida la posibilidad de realizar auditorías. Se podrán tener en consideración que el adjudicatario disponga de certificados de conformidad oficiales.

5º.- Cláusulas para contratos cuyo objeto del contrato consiste en la prestación de servicios informáticos en la nube:
Se deben desarrollar los siguientes contenidos:
1. Si objeto del contrato incluye un tratamiento de información, aunque sea de simple acceso o consulta, se deberá incluir lo indicado en los apartados 1, 2 y 3 del presente Anexo II.
2. La descripción detallada de los servicios que se prestarán, incluyendo:
1º Descripción del servicio.
2º Tipo de servicio.
3º Tipo de infraestructura.
4º Capacidad del servicio, incluyendo desviaciones en la carga que el adjudicatario deberá
asumir.
5º Mecanismos de acceso al servicio.
3. Las localizaciones geográficas de los datos que se admiten. En el caso de que los datos puedan estar fuera del Espacio Económico Europeo, la obligación de proporcionar las garantías jurídicas adecuadas, al tratarse de una transferencia internacional de datos.
4. La categoría y dimensiones de seguridad a la que corresponde el servicio a prestar, según el Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
5. La descripción de las medidas de seguridad del Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que el adjudicatario debe aplicar en función de la categoría, incluyendo la descripción de los aspectos específicos de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso. En particular se contemplarán con especial cuidado las medidas relacionadas con gestión de cambios, continuidad y sistemas de respaldo y recuperación de datos. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisis de riesgos, aplicando los principios determinados en la medida de seguridad ³$QiOLVLV GH ULHVJRV >RS SO @´ GHO 5HDO ‘HFUHWR GH GH HQHUR SRU HO TXH VH UHJXOD HO (VTXHPD Nacional de Seguridad en el ámbito de la Administración Electrónica.
6. La descripción de las operaciones de servicio que pueden necesitar de acciones conjuntas entre las partes y de los mecanismos de coordinación.
1. Los mecanismos para que el órgano de contratación supervise y compruebe la efectiva aplicación de las medidas de seguridad que correspondan. Esto debe incluir recibir informes periódicos sobre la situación de las medidas de seguridad, mecanismos de comprobación regular de esas medidas y
i boc.cantabria.esPág. 28773
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
23/29
CVE-2018-9742
la posibilidad de realizar auditorías por el propio órgano de contratación o por un tercero contratado a tal efecto. Se deberá tener en cuenta que en caso de categoría Alta esas auditorías son obligatorias por ley.
2. El lugar donde residirán los registros de actividad que permiten conocer quién ha accedido a los datos. En caso de residir en los sistemas del adjudicatario, la descripción de los mecanismos de acceso a esos registros y el compromiso del adjudicatario de garantizar ese acceso.
3. El compromiso del adjudicatario de informar de los incidentes de seguridad que afecten a los datos y de las medidas adoptadas para resolverlos o de las medidas que la Administración de la Comunidad Autónoma de Cantabria debe adoptar para evitar los daños que puedan producirse. También la descripción de los mecanismos de coordinación necesarios para la gestión de estos incidentes.
4. La descripción de los procedimientos a realizar en el momento de la finalización del contrato, incluso aunque se trata de una finalización abrupta debido a la aplicación de las cláusulas de resolución, incluyendo el compromiso del adjudicatario de garantizar la portabilidad de la información hacia los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria o hacia los sistemas de otro proveedor, incluyendo los detalles al respecto que sean relevantes.
5. La descripción de los mecanismos para garantizar el borrado seguro de los datos cuando sea solicitado por el órgano de contratación, incluyendo un certificado de que la destrucción se ha efectuado.
6. El compromiso del adjudicatario de informar al órgano de contratación sobre si interviene o no terceras empresas en la prestación de los servicios, incluyendo los cambios en este ámbito que se produzcan a lo largo del contrato y la obligación de responder cuando sea preguntado sobre esta cuestión por el órgano de contratación.
7. El compromiso del adjudicatario de que la participación de terceras empresas sólo se hará dentro de los límites de subcontratación posibles fijados en el contrato.
8. El compromiso del adjudicatario de que la participación de subcontratistas en la prestación del servicio conserva inalteradas las garantías jurídicas.
9. El compromiso del adjudicatario en proporcionar las herramientas necesarias, y cooperar en lo que sea oportuno, para que la Administración de la Comunidad Autónoma de Cantabria permita el ejercicio de los derechos relativos a la protección de datos personales por parte de los interesados.

6º.- Cláusulas para contratos cuyo objeto incluya suministro de aplicaciones software realizadas a medida.
6º.1.- Aplicaciones utilizadas para tratar cualquier tipo de información:
Se deben desarrollar los siguientes contenidos:
1. Categoría y niveles de las dimensiones de seguridad de la aplicación a desarrollar correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
2. Descripción de las medidas del Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), que el adjudicatario debe aplicar e implementar en función de la categoría y las dimensiones de seguridad, incluyendo el detalle de los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso.
6º.2.- Aplicaciones utilizadas para tratar datos personales:
Se deben desarrollar los siguientes contenidos:
1. Se deberá especificar los tipos de datos personales a tratar. Y en particular, si se incluirá el tratamiento de:
a. Categorías de datos especiales establecidas en el artículo 9.1 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016).
b. Datos personales correspondientes a menores de edad, víctimas de violencia de género o víctimas del terrorismo.
i boc.cantabria.esPág. 28774
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
24/29
CVE-2018-9742
c. Conjunto de datos que permitan la elaboración de perfiles de comportamiento de las personas
físicas.
2. Se deberán detallar las medidas de seguridad específicas a implementar asociadas al tratamiento de datos personales que se realizará con la aplicación, incluyendo los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso.

7º.- Cláusulas para contratos cuyo objeto del contrato incluye el suministro de aplicaciones comerciales o elementos hardware, así como subscripción a servicios tecnológicos:
Se deben desarrollar los siguientes contenidos:
1. La categoría y las dimensiones de seguridad correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con la que suministro o el servicio de subscripción y sus elementos deben ser compatibles.
2. El listado de medidas de seguridad del Anexo II del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con el que suministro o el servicio de subscripción y sus elementos deben ser compatible, con la descripción de los aspectos específicos de los sistemas o plataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que se deben contemplar en cada caso. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisis de riesgos, aplicando los principios determinados en la PHGLGD GH VHJXULGDG ³$QiOLVLV GH ULHVJRV >RS SO @´ GHO 5HDO ‘HFUHWR GH GH HQHUR SRU HO TXH VH regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
3. En el caso de recambios, piezas o fungibles no serán obligatorios los dos puntos anteriores, salvo que consideraciones técnicas así lo aconsejen.
i boc.cantabria.esPág. 28775
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
25/29
CVE-2018-9742
ANEXO III

D. _______________________________, con DNI (en nombre propio como adjudicatario) o (en representación de la sociedad _________________________ con NIF adjudicataria) del contrato menor para ________________________________ por el presente documento manifiesta su conformidad a incorporar como cláusulas obligatorias del contrato las siguientes condiciones:
(Cláusulas que correspondan del Capítulo II y del Capítulo III)

Lugar, fecha y firma

i boc.cantabria.esPág. 28776
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
26/29
CVE-2018-9742
ANEXO IV

Resumen de aplicación

La siguiente tabla resume de forma visual la aplicación de la presente orden en lo relativo a los Pliegos de Cláusulas Administrativas Particulares:

Características del objeto del contrato Artículo de la presente orden
Cláusulas del Anexo I a incluir en el Pliego de Cláusulas Administrativas Particulares
Nota: Incluir copia literal de las cláusulas, salvo que se indique lo contrario.
Contratos de prestación de servicios o suministros (no tecnológicos) cuyo objeto no implique el acceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
Artículo 4 Apartado 1º.
Apartado 2º.
Contratos cuyo objeto incluye el tratamiento de información
Artículo 5 Apartado 1º.
Apartado 2º.
Apartados 3º.a (texto a adaptar), 3º.b, 3º.e.
Apartado 4º.
Si el tratamiento de información también incluye el tratamiento de datos personales:
Apartado 3º.c.
Apartado 6º.
Contratos cuyo objeto implique el acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria por parte del personal del adjudicatario.
Artículo 6 Apartado 1º.
Apartado 2º.
Apartados 3º.a (texto a adaptar), 3d y 3ºe.
Apartado 5º.
Si el acceso al sistema de información, implica el acceso a información, por parte del personal del adjudicatario, también incluir las cláusulas correspondientes al artículo 5.
i boc.cantabria.esPág. 28777
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
27/29
CVE-2018-9742
Características del objeto del contrato Artículo de la presente orden
Cláusulas del Anexo I a incluir en el Pliego de Cláusulas Administrativas Particulares
Nota: Incluir copia literal de las cláusulas, salvo que se indique lo contrario.
Contratos cuyo objeto corresponda al suministro de aplicaciones software realizadas a medida y su periodo de mantenimiento correspondiente.
Artículo 7. Apartado 1º.
Apartado 2º.
Apartado 4º.
Apartado 7º.
Si el acceso al sistema de información, implica el acceso a información, por parte del personal del adjudicatario, también incluir las cláusulas correspondientes al artículo 5.
Si el acceso al sistema de información, implica el acceso a los sistemas e información, por parte del personal del adjudicatario, también incluir las cláusulas correspondientes al artículo 6.
Contratos cuyo objeto corresponda a la prestación de un soporte tecnológico avanzado.
Artículo 8. Las mismas cláusulas del artículo 7.
Contratos cuyo objeto implique suministro de aplicaciones comerciales o de elementos hardware, así como la subscripción a servicios tecnológicos.
Artículo 9 Incluir:
Apartado 1º.
Apartado 2º.
Para aplicaciones comerciales o elementos hardware, incluir también:
Apartado 8º.1.
Para subscripción a elementos tecnológicos, incluir también:
Apartado 8º.2.
En el caso de recambios, piezas o fungible, por lo general solo es necesario incluir las cláusulas genéricas (apartados 1º y 2º), salvo que consideraciones técnicas aconsejen incluir también el apartado 8º.1.
Contratos integrales de soporte tecnológico y otros tipos de objeto del contrato relacionados con la tecnología.
Artículo 10. Depende de las características y alcance en particular de cada contrato de este tipo (tener en cuenta lo especificado en los tipos de contratos que abarca su objeto).
i boc.cantabria.esPág. 28778
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
28/29
CVE-2018-9742
La siguiente tabla resume de forma visual la aplicación de la presente orden en lo relativo a los Pliego de Prescripciones Técnicas:

Características del objeto del contrato Artículo de la presente orden
Cláusulas del Anexo II a incluir en el Pliego de Prescripciones Técnicas
Nota: En todo los casos, se trata de desarrollar los contenidos que se especifican en el apartado correspondiente del Anexo II.
Contratos de prestación de servicios cuyo objeto no implique el acceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
Artículo 11. No es necesario incluir ninguna cláusula en el PPT.
Contratos cuyo objeto incluye el tratamiento de información.
Artículo 12 Apartado 1º.
Apartado 2º.
Apartado 3º.a.
Si objeto del contrato incluye el tratamiento de datos personales:
Apartado 3º.b.
Si el objeto del contrato no incluye ningún servicio que se prestará en formato nube:
Apartado 4º.
Si el objeto del contrato sí incluye algún servicio que se prestará en formato nube:
Apartado 5º.
Contratos cuyo objeto implique el acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria por parte del personal del adjudicatario.
Artículo 13 Apartado 4º.
Si el personal del adjudicatario necesitará acceder a información, se deberá tener en cuenta lo indicado para en el artículo 12.
Contratos cuyo objeto implique suministro de aplicaciones software realizadas a medida.
Artículo 14 Apartado 1º.
Apartado 2º.
Si el personal del adjudicatario tratará información real, desarrollar las cláusulas correspondientes al artículo 12.
Si el personal del adjudicatario accederá a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, desarrollar las cláusulas correspondientes al artículo 13.
Apartado 6º.1.
Si la aplicación se usará para tratar datos personales, desarrollar el contenido del apartado 6º.2.
i boc.cantabria.esPág. 28779
LUNES, 12 DE NOVIEMBRE DE 2018 – BOC NÚM. 220
29/29
CVE-2018-9742
Características del objeto del contrato Artículo de la presente orden
Cláusulas del Anexo II a incluir en el Pliego de Prescripciones Técnicas
Nota: En todo los casos, se trata de desarrollar los contenidos que se especifican en el apartado correspondiente del Anexo II.
Contratos cuyo objeto incluya la prestación de un soporte tecnológico avanzado.
Artículo 15 Apartado 1º.
Apartado 2º.
Si el personal del adjudicatario tratará información real, desarrollar las cláusulas correspondientes al artículo 12.
Si el personal del adjudicatario accederá a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, desarrollar las cláusulas correspondientes al artículo 13.
Contratos cuyo objeto implique suministro de aplicaciones comerciales o de elementos hardware, así como subscripción a servicios tecnológicos.
Artículo 16 Apartado 7º.
En el caso de recambios piezas o fungibles no será necesario salvo que las características particulares del objeto del contrato así lo aconsejen.
Contratos integrales de soporte y otros tipos de objeto del contrato relacionados con la tecnología.
Artículo 17 Depende de las características y alcance en particular de cada contrato de este tipo (tener en cuenta lo especificado en los tipos de contratos que abarca su objeto).

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *