pliego de prescripciones tÉcnicas auditorÍa, … · desde este punto de vista, en materia de...

CSV

: MA

006199E6B

C58016146A

F535F1584000384 Dirección de validación: https://sede.m

iteco.gob.es/csv

www.chj.es

https://sede.miteco.gob.es

AV. BLASCO IBÁÑEZ, 48 46010 VALENCIA TEL: 96 393 88 00 FAX: 96 393 88 01

PLIEGO DE PRESCRIPCIONES TÉCNICAS AUDITORÍA, CONSULTORÍA Y ASESORÍA EN MATERIA DE

PROTECCIÓN DE DATOS PERSONALES

FP.SGC.001/2019

Contenido

1. INTRODUCCIÓN Y OBJETO DEL CONTRATO ................................................................................................ 2

2. DESCRIPCIÓN DEL ENTORNO DE TRABAJO ................................................................................................... 3

3. DESCRIPCIÓN DE LOS REQUISITOS FUNCIONALES ................................................................................... 4

3.1. Auditoría de protección de datos personales para los sistemas de videovigilancia y control de

accesos a las instalaciones de la CHJ. ........................................................................................................................... 4

3.1.1. Sistemas actuales de videovigilancia y control de accesos a las instalaciones de la CHJ. .............. 4

3.1.2. Proyecto de centralización de la videovigilancia y control de accesos en los embalses. ................ 6

3.2. Auditoría de cumplimiento de la normativa de protección de datos personales y asesoría. ............ 7

3.3. Consultoría en materia de protección de datos personales. ..................................................................... 8

4. ENTREGABLES ............................................................................................................................................................ 9

4.1. Informe preliminar de la auditoría de cumplimiento de protección de datos personales para los

sistemas de videovigilancia y control de accesos a las instalaciones de la CHJ y asesoramiento. .................. 9

4.2. Informe final de la auditoría de cumplimiento de protección de datos personales para los

sistemas de videovigilancia y control de accesos a las instalaciones de la CHJ y asesoramiento. ................ 10

4.3. Plan de iniciativas correctoras en materia de videovigilancia y control de accesos. ......................... 10

4.4. Informe de propuestas tecnológicas para la implantación de un sistema centralizado de control

de cámaras de seguridad en embalses ....................................................................................................................... 10

4.5. Informe de cumplimiento de la normativa de protección de datos personales del sistema

centralizado propuesto para el control de las cámaras de seguridad en embalses ......................................... 11

4.6. Documentación complementaria. ................................................................................................................. 11

4.7. Documentación de la formación. ................................................................................................................... 11

4.8. Informe de seguimiento de la calidad del servicio relativo a la videovigilancia y control de

accesos. .............................................................................................................................................................................. 11

4.9. Informe preliminar de cumplimiento de LOPDGDD. .............................................................................. 12

4.10. Informe final de cumplimiento de LOPDGDD. .......................................................................................... 12

4.11. Plan de iniciativas correctoras. ....................................................................................................................... 12

4.12. Informe de seguimiento de la calidad de la auditoría LOPDGDD. ........................................................ 13

4.13. Documentación del servicio de consultoría. ............................................................................................... 13

4.14. Informe de seguimiento de la calidad del servicio de consultoría. ........................................................ 13

4.15. Informe preliminar de cumplimiento de la normativa de protección de datos. ................................. 14

4.16. Informe final de cumplimiento de la normativa de protección de datos. ............................................ 14

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv

2 MINISTERIO PARA LA TRANSICIÓN ECOLÓGICA Y EL RETO DEMOGRÁFICO

CONFEDERACIÓN HIDROGRÁFICA DEL JÚCAR, O. A.

4.17. Plan de iniciativas correctoras. ....................................................................................................................... 14

4.18. Informe de calidad de la auditoría de cumplimiento. ............................................................................... 14

5. DESCRIPCIÓN DE REQUISITOS NO FUNCIONALES .................................................................................. 15

5.1. Seguimiento y control ...................................................................................................................................... 15

5.2. Calidad de los trabajos ..................................................................................................................................... 16

5.3. Plan de gestión de proyecto ............................................................................................................................ 17

5.4. Seguridad de la información ........................................................................................................................... 17

6. CONDICIONES DE EJECUCIÓN, Y DE RECEPCIÓN Y ENTREGA DEL SERVICIO .............................. 18

6.1. Medios personales. ............................................................................................................................................ 18

6.2. Régimen de sustitución de personal.............................................................................................................. 19

6.3. Otros medios para la prestación del servicio .............................................................................................. 19

6.4. Herramientas tecnológicas ............................................................................................................................. 19

7. TRANSFERENCIA TECNOLÓGICA .................................................................................................................... 20

8. PAGO DE LOS SERVICIOS Y FACTURACIÓN ................................................................................................ 20

9. CONSULTAS SOBRE EL PLIEGO. ........................................................................................................................ 22

10. PRESUPUESTO ..................................................................................................................................................... 23

ANEXO I: Requisitos mínimos del equipo de trabajo y del equipo de calidad. .................................................... 29

ANEXO II: Compromiso de protección de datos ....................................................................................................... 30

CLÁUSULA/APARTADO PROTECCIÓN DE DATOS PERSONALES ............................................................................. 30

ANEXO: “TRATAMIENTO DE DATOS PERSONALES” .................................................................................................. 31

ANEXO III: Declaración de cumplimiento de requisitos mínimos ......................................................................... 36

a) Capacidades y conocimientos de los perfiles ofertados............................................................................ 36

b) Experiencia de los perfiles ofertados. ........................................................................................................... 37

c) Titulación y formación específica de los perfiles ofertados. .................................................................... 38

d) Certificaciones de empresa. ............................................................................................................................ 39

1. INTRODUCCIÓN Y OBJETO DEL CONTRATO

Establecer determinados niveles de seguridad dentro de la organización, en ocasiones no es una

cuestión opcional, sino una obligación derivada del marco regulador. Desde este punto de vista, en

materia de protección de datos personales, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO

EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales y a la libre circulación de estos (en adelante RGPD), ha venido a

establecer un marco regulador que obliga a los organismos públicos a la adaptación de sus métodos y

procedimientos de trabajo, y al establecimiento de medidas de seguridad en sus sistemas de información

al tratar datos personales.

Por su parte la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en adelante LOPDGDD), adapta dicho Reglamento (UE) 2016/679 al ordenamiento

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



jurídico español y garantiza el cumplimiento del mandato establecido en el artículo 18.4 de la

Constitución relativo a los derechos digitales de la ciudadanía.

La Confederación Hidrográfica del Júcar, O.A. (en adelante CHJ), con objeto de dar cumplimiento

a los requerimientos legales en materia de protección de datos personales en su organización, necesita

revisar el grado de cumplimiento de la nueva normativa.

Los sistemas de videovigilancia constituyen un caso especial en el cumplimiento de la protección

de datos tanto por las Instrucciones de la Agencia Española de Protección de Datos a tener en cuenta,

como por su vertiente tecnológica especializada.

Por tanto, la CHJ, como responsable de los tratamientos derivados de la captación y grabación de

datos biométricos debe definir las medidas de índole técnica y organizativa necesarias para garantizar la

protección, confidencialidad, integridad, y disponibilidad de los sistemas y servicios de tratamientos, en

función del riesgo.

Desde la última auditoría realizada en diciembre de 2016 se han producido cambios de la situación

en la que nos encontramos en materia de protección de datos. Entre otros, recientemente la CHJ ha

entrado en redes sociales.

Adicionalmente, debemos tener en cuenta que la Ley Orgánica 3/2018, de 5 de diciembre, de

Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) establece

obligaciones no recogidas en el RGPD que no han llegado a analizarse.

El objeto del presente contrato es la realización de una auditoría, consultoría y adecuación a la

normativa de protección de datos personales de los sistemas y servicios de tratamiento de información

de la CHJ, con especial atención a los sistemas de videovigilancia, y control de acceso, y las nuevas

obligaciones de la LOPDGDD.

2. DESCRIPCIÓN DEL ENTORNO DE TRABAJO

La CHJ dispone de cámaras y sistemas de videovigilancia en edificios y embalses. Con objeto de dar

cumplimiento a los requerimientos legales en materia de protección de datos de carácter personal en su organización, requiere revisar el grado de cumplimiento de las medidas de seguridad de protección

de datos.

Los sistemas de videovigilancia y control de accesos a auditar están ubicados en embalses y en el

edificio: Oficina de Valencia (Sede central): Avd. Blasco Ibáñez, 48 - 46010 Valencia.

Para poder realizar este trabajo, la CHJ aportará descripción técnica de cada uno de los elementos

de los sistemas de videovigilancia y control de accesos, fotografía de la ubicación de cada una de las

cámaras, instantáneas captadas por dichas cámaras, fotografías de los carteles y demás avisos

informativos existentes, documentos informativos a disposición de la ciudadanía, características de los

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



canales de comunicación, y listado de personas con acceso a las imágenes, indicando si se trata de

personal propio de la CHJ o personal externo relacionado con la CHJ.

El entorno de sistemas de la CHJ se fundamenta en un solo dominio, denominado CHJ.ES, y

compuesto por cuatro sedes: Valencia, Albacete, Alicante y Teruel. Adicionalmente, existen otras

ubicaciones de la Demarcación Hidrográfica del Júcar conectadas directamente a la red CHJ, y otras

mediante VPN a través de Internet.

El entorno de comunicaciones consiste en:

- La interconexión de las sedes remotas de la CHJ (Albacete, Alicante y Teruel) con la sede

central de Valencia, se realiza mediante una red privada virtual (VPN) contratada con un

operador de Telecomunicaciones, dotada de redundancia en todas las sedes a nivel de circuito.

- El acceso remoto a la red de la CHJ mediante túneles VPN a través de Internet, a los equipos

portátiles de los Agentes Medio Ambientales, personal CHJ, embalses y oficinas sin conexión

directa a la red CHJ, distribuidos por toda la cuenca hidrográfica.

- La prestación de servicios a Internet por parte de la CHJ, tales como portales WEB, correo

móvil, VPN, etc., se realiza a través de una conexión a internet corporativa SIG (Servicio

Internet Garantizado) de 500 Mbps simétrico.

- Interconexión con la red SARA a través del MAPA con un circuito de backup basado en 4G.

- Interconexión con algunas empresas directamente con la CHJ a través de otras líneas de

comunicación.

- Red de área local en la sede de Valencia.

- Redes de comunicación del Sistema Automático de Información Hidrológica, y para la

visualización de imágenes de videocámaras en embalses.

Existen canales de comunicación por satélite, WIMAX, y microondas, con los sistemas de

videovigilancia.

3. DESCRIPCIÓN DE LOS REQUISITOS FUNCIONALES

3.1. Auditoría de protección de datos personales para los sistemas de videovigilancia y

control de accesos a las instalaciones de la CHJ.

3.1.1. Sistemas actuales de videovigilancia y control de accesos a las instalaciones

de la CHJ.

Se analizarán todos los requerimientos establecidos en la normativa vigente en materia de

protección de datos personales, respecto de todos los elementos de los sistemas de videovigilancia

incluyendo los canales de comunicación y los sistemas que permiten su almacenamiento.

El adjudicatario valorará todos los aspectos previstos en el Reglamento y en la nueva Ley Orgánica

3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que afecten

a los sistemas de Videovigilancia de la CHJ.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



La auditoría tendrá en cuenta tanto los aspectos jurídicos, como los tecnológicos. En especial se

valorará:

Aspectos contemplados Artículo y Considerandos

Valoración de los principios recogidos en el

Reglamento.

Art. 5 RGPD. Título II de la Ley 3/2018

Identificación de las personas de la CHJ que tienen las

funciones de las figuras previstas en el Reglamento, y

la política de delegación de funciones.

Artículo 4. Apdo.: 7,8,9 y 10.

Delegado protección datos Sección 4

RGPD.

Capítulo III (Art 34 a 37) de la Ley 3/2018

Registro de actividades de tratamiento Art. 30 RGPD y artículo 31 Ley 3/2018

Análisis de riesgos y medidas de seguridad Considerando 83 y Art. 32.

Disposición adicional primera Ley 3/0218

Evaluación de impacto Art. 35 RGPD.

Art. 28.1 y Disposición adicional

decimoséptima 2.f) 1º de la Ley3/2018

Derecho de información Art. 13 Y 14 RGPD. Art. 11 de la Ley

Contratación de un tercero Considerando 81 y Artículo 28.3 del RGPD

Conservación de las imágenes Art 6 de la Instrucción 1/2006, de 8 de

noviembre, de la Agencia Española de

Protección de Datos, sobre el tratamiento de

datos personales con fines de vigilancia a través

de sistemas de cámaras o videocámaras.

Considerando 39 de la RGPD.

Art. 22 de la Ley 3/2018

Derechos de las personas Los artículos 15 a 22 del RGPD. Título III de

la Ley 3/2018

Comunicación de imágenes a terceros Artículo 236 quáter de la Ley Orgánica

6/1985, de 1 de julio, del Poder Judicial. Art.

44 del RGPD.

Artículo 22 de la Ley 3/2018

Notificación de brechas de seguridad Artículo 33 del RGPD. Art. 73 Ley 3/2018

Consentimiento informado de los trabajadores Considerando 42, art 7 RGPD. Art. 6 Ley

3/2018

Carteles Art. 22.4 y 89 de la Ley 3/2018

Control de acceso Considerando 162; Art. 22 Ley 3/2018

Derecho a la intimidad frente al uso de dispositivos de

videovigilancia

Art. 89 de la Ley 3/2018

Se indicarán las consideraciones especiales a tener en cuenta en las infraestructuras críticas según

su normativa de regulación.

El análisis de los tratamientos tendrá en cuenta la información del Registro de Actividades de

Tratamiento (en adelante RAT) de la CHJ. Se identificarán todos los tratamientos asociados a las

imágenes obtenidas tanto si son automatizados como no automatizados. Si se detectaran tratamientos

de datos personales no identificados, o características en los tratamientos que pudiesen hacer variar los

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



niveles de seguridad identificados, se notificará de estas circunstancias al equipo de proyecto de la CHJ

para su actualización.

El número máximo de cámaras a valorar será de cincuenta y el número máximo de unidades de

grabación será de diez.

Se prevén dos desplazamientos para ver presencialmente la ubicación de las cámaras en alguno de

los embalses.

La empresa adjudicataria realizará las propuestas para la regularización de las deficiencias

encontradas aportando modelos o soluciones implantadas en otros sitios con éxito.

La CHJ realizará las actuaciones correctoras que considere en base a dichas propuestas.

La empresa presentará los informes preliminar y final descritos en los puntos 4.1., 4.2. y 4.3. del

presente documento.

3.1.2. Proyecto de centralización de la videovigilancia y control de accesos en los

embalses.

Ante la posibilidad de acometer un proyecto de centralización de la videovigilancia para todos los

embalses gestionados por la CHJ, el adjudicatario:

1. Presentará propuestas de solución tecnológica para el sistema centralizado, indicando

ventajas, inconvenientes y presupuesto estimativo para cada una de ellas. Las soluciones

planteadas atenderán exclusivamente a criterios tecnológicos y de adecuación de las

necesidades de la CHJ sin verse condicionadas por la protección de datos personales. Para

su identificación se realizará previamente entrevista con las personas de la CHJ para

recoger los requisitos funcionales que debe cumplir dicho sistema centralizado de

videovigilancia. Una vez la CHJ seleccione una de las soluciones tecnológicas propuestas, el

adjudicatario analizará los riesgos a los que podría estar sometido el tratamiento, teniendo

en cuenta la solución elegida por la CHJ.

La empresa adjudicataria aportará el informe de propuestas descrito en el punto 4.4.

2. El adjudicatario indicará las cuestiones a tener en cuenta para cumplir con la normativa de

protección de datos personales en caso de poner en marcha la solución del sistema

centralizado de videovigilancia seleccionada.

Entre otros, se comprobará si existe la necesidad de llevar a cabo una Evaluación de

impacto en virtud del artículo 35 del RGPD “Evaluación de impacto relativa a la protección

de datos”. En caso de concluir que no es necesario realizarlo, el adjudicatario aportará

Memoria justificativa. En caso contrario, el adjudicatario remitirá informe tipo y colaborará

con la CHJ para acometerlo satisfactoriamente.

La empresa adjudicataria aportará el informe de propuestas descrito en el punto 4.5.

Adicionalmente, la empresa adjudicataria asesorará sobre:

Actualización del organigrama de seguridad de la CHJ incluyendo además las personas

identificadas como responsables en los sistemas de videovigilancia, según las figuras previstas

en el Reglamento.

Actualización del documento de roles y responsabilidades para recoger las cuestiones

relativas a los sistemas de videovigilancia.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Disponer de una hoja de cálculo resumen desde donde se pueda acceder a toda la

documentación generada.

Para ello presentará una propuesta para cada cuestión. Se aportará la documentación

complementaria descrita en el punto 4.6.

Finalizada la auditoría se realizarán charlas informativas:

- 2 charlas informativas específicas para los empleados que tienen acceso a las imágenes de

videovigilancia de entre 2 y 4 horas de duración.

- 1 charla informativa para directivos y Comité de seguridad de aproximadamente 2 horas

de duración

Se aportará la documentación descrita en el punto 4.7

Se aportará el informe de seguimiento de la calidad del servicio descrito en el punto 4.8.

3.2. Auditoría de cumplimiento de la normativa de protección de datos personales y

asesoría.

Se trata de conocer el grado de cumplimiento de la CHJ en materia de protección de datos

personales y asesoría, prestando la debida atención a los riesgos asociados a las operaciones

de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del

tratamiento.

En primer lugar, se analizarán las obligaciones no recogidas en el RGPD que afectan a la CHJ,

excepto todo lo relativo a los derechos digitales. En especial,

- la gestión de datos de personas fallecidas

- el bloqueo de datos.

- los distintos aspectos a tener en cuenta en el uso de dispositivos de geolocalización y

monitorización de sus empleados, a través de dispositivos utilizados para el desempeño de

su trabajo.

- redes sociales y uso de internet.

- transparencia.

Se propondrán soluciones jurídicas, documentales y tecnológicas, así como recomendaciones de

adecuación para resolver las no conformidades encontradas. La CHJ intentará implantar, con sus

propios recursos, algunas de estas soluciones. Una vez finalizado este proceso, el adjudicatario revisará

e informará de la situación final alcanzada.

Se aportarán los informes descritos en los puntos 4.9., 4.10. y 4.11.

Se aportará el informe de seguimiento de calidad descrito en el punto 4.12.

Esta primera parte del servicio se podrá realizar en cualquier momento tras la finalización de los

trabajos descritos en el punto 3.1.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Posteriormente, se auditará de forma completa la CHJ con relación al cumplimiento de la normativa

de protección de datos. Se seguirán las recomendaciones de la Agencia Española de Protección de

Datos.

Se propondrán soluciones jurídicas, documentales y tecnológicas, así como recomendaciones de

adecuación para resolver las no conformidades encontradas. Se aportará el informe preliminar descrito

en el punto 4.15 al menos dos meses antes de su finalización.

La CHJ intentará implantar, con sus propios recursos, algunas de estas soluciones. Una vez finalizado

este proceso, el adjudicatario revisará e informará de la situación final alcanzada. Se aportará el informe

descrito en los puntos 4.16 y 4.17.

Se aportará el informe de seguimiento de calidad descrito en el punto 4.18.

Esta parte del servicio se llevará a cabo en el segundo año de este contrato.

3.3. Consultoría en materia de protección de datos personales.

Objetivo.

El objetivo de este servicio es que el personal de la CHJ pueda disponer del asesoramiento de

expertos para una adecuada protección de los datos personales en la CHJ en términos generales. Se

tendrá en cuenta tanto el RGPD como la LOPDGDD, así como el resto de normativa vigente y

directrices de la Agencia Española de Protección Española.

Características y descripción del servicio.

Este servicio consiste en atender consultas, tanto jurídicas como técnicas, relacionadas con la

protección de datos personales, en el ámbito de competencia tanto del responsable del tratamiento,

los responsables de seguridad y de la Delegada de protección de datos.

Se identifican los siguientes tipos de consultas e informes y su estimación total para los dos años

de duración de este servicio.

Consulta especifica: 20 unidades. Se trata de consultas ya contestadas por la Agencia Española de

Protección de Datos o basadas en el conocimiento de la normativa, que requieran de una

respuesta breve. Se contestarán a través del correo electrónico o la vía habilitada al efecto.

Consulta básica: 10 unidades. Dichas consultas requerirán de un informe al respecto, el cual

deberá tener una extensión aproximada entre 1 y 4 páginas.

Consulta compleja: 20 unidades. Dichas consultas requieren de un análisis técnico/jurídico previo,

y requerirán de un informe al respecto, el cual deberá tener una extensión aproximada entre 2

y 6 páginas.

Consulta-informe: 20 unidades. La extensión aproximada de cada informe versará entre 2 y 8

páginas.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Informe-propuesta: 10 revisiones de textos. (fundamentalmente contratos y/o convenios) y,

proponer las mejoras que sean necesarias en el ámbito de protección de datos, no entrando a

valorar el resto de cláusulas ajenas a la materia, en su caso.

En las consultas e informes que incluyan como parte de su contenido de forma total o parcial otros

informes o publicaciones, estos últimos no se consideraran al valorar la extensión de la respuesta.

Adicionalmente, se requiere de una formación y concienciación en materia de protección de datos

personales, con carácter general para los trabajadores de la CHJ. Se realizarán dos sesiones presenciales

estimadas en dos o tres horas de duración cada una de ellas, a realizar en la sede central de la CHJ. Se

elaborará un tríptico donde se haga referencia a los conceptos claves que los empleados públicos deben

tener en consideración. Este tríptico se hará llegar a todos los empleados de la CHJ.

Condiciones de ejecución.

El nivel de servicio para consulta específica es:

Prioridad Tiempo máximo de respuesta Tiempo máximo de resolución

Urgente < 2 horas laborables < 1 día laborable

Media < 8 horas laborables < 3 días

No urgente < 2 días laborables < 1 semana

Para el resto de consultas e informes

Prioridad Tiempo máximo de respuesta Tiempo máximo de resolución

Urgente < 2 horas laborables < 3 días

Media < 8 horas laborables < 1 semana

No urgente < 2 días laborables < 1 mes

Se aportarán los correspondientes informes de consultoría descritos en el punto 4.13.

Se aportará el informe de seguimiento de la calidad del servicio descrito en el punto 4.14

4. ENTREGABLES

4.1. Informe preliminar de la auditoría de cumplimiento de protección de datos

personales para los sistemas de videovigilancia y control de accesos a las

instalaciones de la CHJ y asesoramiento.

Se elaborará un informe preliminar que verificará el cumplimiento de la normativa de protección

de datos personales respecto de los sistemas de videovigilancia y control de accesos de la CHJ.

En el caso de que se detecten no conformidades, se describirán las acciones correctoras

recomendadas.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Una vez la CHJ realice las actuaciones correctoras que considere, la empresa adjudicataria volverá

a revisar la situación de dichas no conformidades y elaborará el informe final de auditoría.

4.2. Informe final de la auditoría de cumplimiento de protección de datos personales

para los sistemas de videovigilancia y control de accesos a las instalaciones de la

CHJ y asesoramiento.

El informe final de auditoría dará cobertura a los requerimientos del RGPD y la LOPDGDD con

relación a los sistemas de videovigilancia y control de accesos. Por tanto, el informe revisará el

cumplimiento de las medidas de seguridad que la CHJ debe cumplir. En este sentido, el informe valorará

su grado de implantación, y dictaminará sobre su adecuación a los requerimientos del RGPD y la

LOPDGDD.

Se aportarán los datos, hechos y observaciones que acrediten las valoraciones del equipo auditor,

y se aportarán -en la medida de lo posible- evidencias de la existencia o inexistencia del control o

medida de seguridad de que se trate.

En el caso de que se detecten no conformidades, se describirán las acciones correctoras a abordar.

Las recomendaciones que emanen del informe de auditoría de cumplimiento se integrarán en un

entregable independiente, Plan de Iniciativas correctoras, que se describe a continuación.

4.3. Plan de iniciativas correctoras en materia de videovigilancia y control de accesos.

Este documento detallará las iniciativas a abordar por parte de la CHJ para subsanar las posibles

deficiencias de cumplimiento detectadas en el punto 4.2.

Estas iniciativas pueden ser de diferente índole, dependiendo de si están orientadas a subsanar

incumplimientos detectados en la fase de revisión de documentación o de entrevistas, a saber:

Iniciativas orientadas a implantar o a mejorar la eficacia de controles y medidas de seguridad

requeridos por el RGPD y la LOPDGDD.

Iniciativas orientadas a mejorar, actualizar y/o completar el RAT, teniendo en cuenta las

novedades introducidas al respecto por el RGPD y la LOPDGDD.

Mejoras técnicas propuestas.

El Plan de Iniciativas Correctoras contemplará, si ha lugar, la definición de acciones e iniciativas

relativas a los sistemas de videovigilancia de la CHJ, para dar cumplimiento a los aspectos del RGPD y

la LOPDGDD que actualmente la CHJ no estuviera realizando adecuadamente.

4.4. Informe de propuestas tecnológicas para la implantación de un sistema

centralizado de control de cámaras de seguridad en embalses

Dicho informe presentará al menos 2 propuestas tecnológicas de actuación. El informe incluirá

como mínimo:

Soluciones propuestas de comunicaciones para cada ubicación (sea la existente o la necesidad

de otro tipo de conectividad)

Material necesario (cableado, cámaras, videograbadores, etc.).

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Consideraciones sobre la posibilidad de una Central Receptora de Alarmas (CRA), y la necesidad

de acceso por personal de la CHJ

Recomendaciones respecto de la solución seleccionada por la CHJ, para su adecuada

contratación. La documentación aportada tendrá en cuenta el hecho de que la contratación de

los sistemas de videovigilancia se realiza de forma centralizada a través de la Subsecretaría de la

Dirección General de Racionalización y Centralización de la Contratación. Dicha documentación

podrá ser utilizada por parte de la CHJ para la contratación de los sistemas.

Para la solución tecnológica seleccionada por la CHJ el adjudicatario realizará el análisis de riesgos

teniendo en cuenta el Esquema Nacional del Seguridad (ENS).

4.5. Informe de cumplimiento de la normativa de protección de datos personales del

sistema centralizado propuesto para el control de las cámaras de seguridad en

embalses

En el caso de que el análisis de riesgos indique la necesidad de realizar la Evaluación de impacto, se

aportará la ficha técnica de evaluación de impacto correspondiente.

Adicionalmente, se indicarán las actuaciones a llevar a cabo para que se cumpla la normativa en

materia de protección de datos personales, teniendo en cuenta las ya implantadas.

4.6. Documentación complementaria.

Se aportará según lo descrito en el punto 3.1 Auditoría de protección de datos personales para los

sistemas de videovigilancia y control de accesos a las instalaciones de la CHJ, análisis para la potencial

centralización de la videovigilancia en los embalses y asesoría especializada:

Documento propuesta del organigrama de seguridad de la CHJ. Se trata de asesorar sobre

cuál debería ser el Mapa de delegaciones en materia de responsabilidades de la normativa de

protección de datos personales en base al aportado por la CHJ.

Documento propuesta de roles y responsabilidades en base al aportado por la CHJ.

Hoja de cálculo de documentación de interés con enlaces a cada documento.

4.7. Documentación de la formación.

Se aportará la documentación de las charlas informativas para los empleados relacionados con los

sistemas de videovigilancia y control de accesos, así como la del Comité de seguridad, descritos en el

apartado 3.1. Auditoría de protección de datos personales para los sistemas de videovigilancia y control de

accesos a las instalaciones de la CHJ, análisis para la potencial centralización de la videovigilancia en los embalses

y asesoría especializada.

4.8. Informe de seguimiento de la calidad del servicio relativo a la videovigilancia y

control de accesos.

Dado que para la realización del servicio se interrelacionan aspectos jurídicos y técnicos muy

especializados y la duración del contrato es de 2 años, parece recomendable disponer de un servicio

de control de calidad que realice actuaciones destinadas a asegurar la calidad del servicio descrito

en el apartado 3.1.

Al menos deberá incluir:

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



- Verificación de que los perfiles de las personas asignadas a cada intervención son acordes a lo

recogido en el apartado 6.I: Medios personales.

- Aseguramiento de la calidad de las actuaciones realizadas:

o Medición interna de la calidad de los informes entregados

o Medición del grado de satisfacción respecto del servicio prestado

- Verificación de la eficacia de ejecución constatando que se cumple el nivel de servicio recogido

en las especificaciones técnicas de la licitación.

- Verificación de cumplimiento del plan de aseguramiento de la calidad de los trabajos previsto y

realización de ajustes en su caso.

- En general, deberá comprobar que se respetan las condiciones de recepción y ejecución del

servicio previstas, descritas en el apartado 6. Condiciones de ejecución, y de recepción y entrega del

servicio.

4.9. Informe preliminar de cumplimiento de LOPDGDD.


de datos personales respecto de la LOPDGDD.

En el caso de que se detecten no conformidades, se describirán las acciones correctoras

recomendadas.

Se describirán las soluciones propuestas jurídicas, documentales y tecnológicas.

Finalizadas las acciones correctoras por parte de la CHJ, la empresa adjudicataria volverá a revisar

la situación de dichas no conformidades y elaborará el informe final de dicha auditoría.

4.10. Informe final de cumplimiento de LOPDGDD.

El informe final de auditoría dará cobertura a los requerimientos de la LOPDGDD. Por tanto, el

informe incluirá la revisión del cumplimiento de las medidas de seguridad que la CHJ debe cumplir. En

este sentido, el informe valorará su grado de implantación, y dictaminará sobre su adecuación a los

requerimientos de la LOPDGDD.




En el caso de que se detecten no conformidades, se describirán las acciones correctoras a abordar. Las recomendaciones que emanen del informe de auditoría de cumplimiento se integrarán en un

entregable independiente, Plan de Iniciativas, que se describe a continuación.

4.11. Plan de iniciativas correctoras.

Este documento detallará las iniciativas a abordar por parte de la CHJ para subsanar las posibles


Estas iniciativas pueden ser de diferente índole, dependiendo de si están orientadas a subsanar

incumplimientos detectados en la fase de revisión de documentación o de entrevistas, a saber:

Iniciativas orientadas a implantar o a mejorar la eficacia de controles y medidas de seguridad

requeridos por la LOPDGDD.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Iniciativas orientadas a mejorar, actualizar y/o completar el RAT, teniendo en cuenta las

novedades introducidas al respecto por la LOPDGDD.

El Plan de Iniciativas Correctoras contemplará, si ha lugar, la definición de acciones e iniciativas para

dar cumplimiento a los aspectos de la LOPDGDD que actualmente la CHJ no estuviera realizando

adecuadamente.

4.12. Informe de seguimiento de la calidad de la auditoría LOPDGDD.

Tras la finalización de la primera parte de las actuaciones descritas en el apartado 3.2. se deberá

presentar un informe de seguimiento de la calidad del servicio que, al menos deberá incluir:


recogido en el apartado 6.1 Medios personales.






- Verificación de cumplimiento del plan de aseguramiento de la calidad de los trabajos previstos y


- En general, deberá comprobar que se respetan las condiciones de recepción y ejecución del

servicio previstas, descritas en el apartado 6. Condiciones de ejecución, y de recepción y entrega del

servicio.

4.13. Documentación del servicio de consultoría.

Se entregarán los informes descritos en el apartado 3.3. relativos a consultoría en materia de

protección de datos personales.

Se aportará la documentación de las sesiones de información y concienciación en materia de

protección de datos. Asimismo, se aportará un tríptico de las cuestiones más relevantes que deben

tener en cuenta los empleados de la CHJ, desde una perspectiva más general.

4.14. Informe de seguimiento de la calidad del servicio de consultoría.

Dado que la consultoría descrita en el punto 3.3 es un servicio continuo a lo largo de la vida del

servicio y hasta la finalización de éste, el informe constará de la documentación aportada por el

adjudicatario respecto del seguimiento de la calidad y se entregará a la finalización del servicio. El

informe se adecuará a lo establecido en el plan de gestión de la calidad.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



4.15. Informe preliminar de cumplimiento de la normativa de protección de datos.


de datos personales. Tendrá en cuenta los informes finales de los puntos 4.2 y 4.10.

En el caso de que se detecten no conformidades, se describirán las acciones correctoras a abordar.

Se describirán las soluciones propuestas jurídicas, documentales y tecnológicas.

Finalizadas las acciones correctoras por parte de la CHJ, la empresa adjudicataria volverá a revisar

la situación de dichas no conformidades y elaborará el informe final de dicha auditoría.

4.16. Informe final de cumplimiento de la normativa de protección de datos.

Este informe valorará el grado de cumplimiento de la normativa de protección de datos.




En el caso de que se detecten no conformidades, se describirán las acciones correctoras a abordar

y las recomendaciones para su cumplimiento.

4.17. Plan de iniciativas correctoras.

Este documento detallará las iniciativas que recomienda a la CHJ abordar para subsanar las posibles


El Plan de Iniciativas Correctoras contemplará, si ha lugar, la definición de acciones e iniciativas para dar cumplimiento a los aspectos de la normativa de protección de datos vigente que actualmente la CHJ

no estuviera realizando adecuadamente.

4.18. Informe de calidad de la auditoría de cumplimiento.

Tras la realización de la segunda parte de la auditoria de cumplimiento de la protección de datos

descrita en el apartado 3.2, y dado que se interrelacionan aspectos jurídicos y técnicos especializados,

y la duración del contrato es de 2 años, parece recomendable disponer de un servicio de control de

calidad que realice las actuaciones descritas en el apartado 3.2. Al menos deberá incluir:


establecido en este documento.




CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv





- Verificación de cumplimiento del plan de aseguramiento de la calidad de los trabajos previsto.

- En general, deberá comprobar que se respetan las condiciones de entrega del servicio, descritas

en el apartado 6. Condiciones de ejecución, y de recepción y entrega del servicio

5. DESCRIPCIÓN DE REQUISITOS NO FUNCIONALES

5.1. Seguimiento y control

SC 1. Al inicio del servicio el Jefe de proyecto acordará con el Director Técnico una planificación

de las tareas a realizar en la ejecución del servicio. El Jefe de proyecto informará mensualmente de la

evolución del servicio, acordando con la CHJ las modificaciones necesarias a la planificación prevista.

SC 2. Con relación a la documentación, una vez remitida a la CHJ por parte de la empresa

adjudicataria, la CHJ la revisará de cara a su validación, realizando las consultas que estime convenientes.

Una vez validada se procederá a la planificación de fechas para la realización de las jornadas de

transferencia de conocimiento.

SC 3. Se realizarán reuniones de control y seguimiento con el objetivo de:

• Realizar un seguimiento del contrato,

• Aprobar los productos finales y tomar las decisiones de mayor importancia en el ciclo de vida

del

desarrollo,

• Verificar el grado de cumplimiento de los objetivos,

• Verificar la calidad del servicio ofrecido por el adjudicatario,

• Revisar las reasignaciones y variaciones del personal dedicado al proyecto,

• Validar la planificación de las actividades realizadas.

SC 3.1. Tras las reuniones de seguimiento, el Organismo podrá rechazar en todo o en parte los

trabajos realizados en la medida que no correspondan a los especificados o no superasen los controles

de calidad acordados.

SC 3.2. Cada reunión tendrá como entrada mínima:

• Agenda de la reunión

• Informe de progreso y actividades • Principales incidencias ocurridas y resolución de problemas

• Lista de acciones pendientes

• Planificación actualizada

• Medidas correctivas, en su caso.

SC 4. En el caso de que se produzcan eventualidades que hagan variar la planificación o la

organización del proyecto, deberán notificarse en una reunión de seguimiento, y será la Administración

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



quien autorice las soluciones más adecuadas. El adjudicatario no podrá realizar ninguna variación sin la

autorización expresa de ésta.

SC 5. La periodicidad mínima de reuniones de seguimiento será bimestral. Se levantará acta de

las mismas.

SC 6. El Organismo se encargará de coordinar las reuniones que fuera necesario realizar con

las unidades que colaboran en el proyecto.

5.2. Calidad de los trabajos

CA 1. Se realizarán actuaciones destinadas a asegurar la calidad del servicio entre las que se cuentan:

Verificación de los perfiles de las personas aportadas por la empresa para la ejecución del

servicio.

Aseguramiento de la calidad de las actuaciones realizadas.

Verificación de la eficacia de ejecución constatando que se cumple el nivel de servicio recogido en las especificaciones técnicas de la licitación.

Verificación de cumplimiento del plan de aseguramiento de la calidad de los trabajos y


CA 2. Se informará bimensualmente de la calidad del servicio. Dichos informes de control y

aseguramiento de la calidad del servicio, complementarán la información recogida en los informes de

seguimiento de la ejecución del contrato.

CA 3. Plan de aseguramiento de la calidad de los trabajos.

El adjudicatario presentará unos niveles de garantía de cada servicio, así como un plan de control y

garantía de calidad que parametrice, contemple y establezca niveles de alarma, prevea medidas

proactivas y correctivas, procedimientos de apertura, notificación y resolución de incidencias, y el

propio plan de trabajo para la ejecución del servicio. Dicho plan asegurará al menos el nivel de servicio

recogido en las especificaciones técnicas de la licitación. El plan incluirá mecanismos de control de

calidad de los entregables, seguimiento de riesgos, seguimiento de la calidad de las unidades de trabajo

y trabajos realizados. Para evaluar la calidad de gestión de las unidades de trabajo se dispondrá de

parámetros como:

- Disponibilidad de personal y recursos.

- Situación y cumplimiento de la planificación de proyectos

- Tiempos medio y máximo de respuesta ante consultas o solicitud de informes.

- Tiempos medio y máximo para la atención de consultas.

- Estadísticas.

- Reiteración de incidencias.

- Gestión de quejas y sugerencias.

- Control de mejoras.

- Establecer puntos de control que ayuden a detectar posibles desviaciones o mejoras del

servicio.

- Notificar posibles incumplimientos, problemas, defectos y proponer acciones correctivas

- Buenas prácticas.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



- Medidas correctoras.

- Otros

El plan de aseguramiento de la calidad de los trabajos propuesto por la empresa adjudicataria será

objeto de revisión y validación por parte del Director de los trabajos previo inicio del servicio.

Seis meses después de su validación, en base a la experiencia acumulada, se revisará y actualizará,

en su caso.

CA 4. La gestión de calidad debe ser un proceso continuo que abarque todo el ciclo de vida del

contrato. Así pues, es muy conveniente que la empresa adjudicataria disponga de alguna herramienta

que facilite la gestión de la calidad.

CA 5. El adjudicatario remitirá con la periodicidad acordada informes estadísticos referentes a

todos los parámetros de calidad definidos, valorando y midiendo objetivamente el grado de prestación

global del servicio.

Estos informes serán la base para decidir las adaptaciones, modificación de procedimientos de

gestión y/o penalizaciones.

5.3. Plan de gestión de proyecto

Al inicio del servicio en base al programa de trabajo y plazo de ejecución presentado por la empresa

adjudicataria, el Jefe de proyecto acordará con el Director de los trabajos una planificación de las tareas

a realizar en la ejecución del servicio y los detalles del Plan de Gestión de Proyecto (PGP).

El PGP presentado por el adjudicatario contendrá como mínimo:

• Cronograma.

• Hitos (se corresponderán con cada uno de los requisitos funcionales).

• Entregables a suministrar en cada Hito.

• Planificación del proyecto, incluyendo las personas asignadas, con indicación de

responsabilidades, perfiles y dedicación.

5.4. Seguridad de la información

Se tendrán en cuenta los requisitos establecidos en el Esquema Nacional de Seguridad y los

protocolos de seguridad desarrollados por el Servicio de Informática de la CHJ.

Se asume el conocimiento, por parte del adjudicatario, de las normas legales y de obligado

cumplimiento que la legislación, en materia de protección de datos, establece, con las cautelas y

requerimientos que las buenas prácticas profesionales aconsejen.

El adjudicatario se compromete a velar por la seguridad de los equipos, programas, datos e

información de la CHJ y, en consecuencia, a realizar los servicios contratados guardando estrictamente las medidas de seguridad y prudencia necesarias con el fin de evitar la pérdida o dispersión de la

información, así como los daños, pérdida o deterioro de los equipos y programas.

Se deberá presentar cumplimentado el formulario relacionado con la protección de datos

personales y medidas de seguridad recogido en el ANEXO II: COMPROMISO PROTECCIÓN DE

DATOS PERSONALES.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



6. CONDICIONES DE EJECUCIÓN, Y DE RECEPCIÓN Y ENTREGA DEL

SERVICIO

6.1. Medios personales.

Para la realización de los trabajos objeto del presente contrato, se considera necesaria la

intervención de cuatro (4) perfiles o categorías profesionales. En base a los requerimientos y experiencia

previa, se ha estimado que el equipo de trabajo idóneo para la ejecución del contrato debe ser el

siguiente:

Perfil Número de personas mínimo

Jefe de Proyecto 1

Consultor jurídico 1

Consultor técnico (*) 1

Experto en sistemas de videovigilancia y

control de accesos (*)

1

(*) El Consultor técnico puede ser la misma persona que el experto en sistemas de videovigilancia

y control de accesos siempre que aúne la titulación, experiencia y conocimientos de ambos perfiles.

El equipo de calidad, deberá estar constituido por al menos una persona con perfil de analista de

calidad según lo establecido en el Anexo I. El equipo de calidad podrá contar, además, con un técnico

de calidad y/o un analista de calidad adicional.

El licitador podrá aportar la disponibilidad de una oficina de calidad independiente, de apoyo al

equipo de calidad.

El Jefe de Proyecto será el contacto más inmediato con los responsables de la CHJ y ostentará

la representación de la empresa contratada. Realizará las tareas de Organización y Gestión

administrativa del proyecto, la planificación y coordinación del equipo del trabajo, detectando las

necesidades y estableciendo estrategias para el correcto desarrollo de la actividad del grupo de trabajo,

siempre bajo la dirección del Director Técnico del Proyecto. El Jefe de Proyecto tendrá la

responsabilidad de coordinar, supervisar y gestionar al personal del servicio, organizará las tareas del

equipo de trabajo, detectando las necesidades y estableciendo estrategias para adecuado desarrollo del

servicio, siempre bajo la dirección del Director Técnico del Proyecto. El Jefe de Proyecto servirá como

interlocutor con los empleados públicos que dirijan los trabajos, dirigirá al resto del grupo de trabajo e

impartirá las instrucciones sobre el modo de realización de las actividades, supervisando la actividad de

estos permanentemente.

En todo momento la empresa que debe realizar los trabajos se adecuará a la metodología de trabajo

que permita la interrelación con las actividades a desarrollar por la CHJ.

La CHJ designará un Director Técnico del presente proyecto. El equipo de trabajo de la empresa

prestará sus servicios en colaboración y bajo la supervisión de un director técnico de la CHJ, del cual

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



recibirá las instrucciones sobre las tareas a realizar y cuál es la estrategia a seguir para la realización de

las distintas tareas que se presenten.

Esta contratación no podrá implicar la realización de las funciones que supongan la participación

directa en el ejercicio de las potestades públicas o en la salvaguardia de los intereses generales del

Estado y de las Administraciones Públicas, como son las que implican ejercicio de autoridad, las de fe

pública y asesoramiento legal preceptivo, las de control y fiscalización interna de la gestión económico-

financiera y presupuestaria, las de contabilidad y tesorería. Tampoco podrá implicar la realización de

funciones propias de secretaría, unidades de apoyo y registro.

En el Anexo I se especifican los requisitos mínimos del equipo de trabajo y del equipo de calidad.

El licitador aportará declaración de cumplimiento de dichos requisitos mediante el formulario del

Anexo III.

6.2. Régimen de sustitución de personal.

La autorización por parte del centro directivo de cambios puntuales en la composición del equipo de trabajo a instancias de la empresa adjudicataria requerirá:

Solicitud justificada al Director Técnico con quince días de antelación.

Presentación de posibles candidatos con cualificación técnica igual o superior al de la persona que

se pretende sustituir, según Anexo I.

Aceptación de alguno de los candidatos por parte del Director Técnico.

La excepcional petición de sustitución de personal a instancias de la CHJ requerirá de solicitud al

Jefe de Proyecto de la empresa adjudicataria con quince días de antelación.

La aceptación de alguno de los candidatos por parte del Director de los trabajos de la CHJ seguirá

el mismo procedimiento que el establecido para la aceptación del equipo inicial de trabajo.

6.3. Otros medios para la prestación del servicio

El adjudicatario deberá proporcionar los medios técnicos necesarios para llevar a buen término la

prestación del servicio y dotará a las personas prestadoras de los medios necesarios y soporte en todas

las materias para su realización.

6.4. Herramientas tecnológicas

Herramienta de gestión del proyecto.

La empresa adjudicataria aportará una plataforma o sistema de seguimiento de la ejecución de las

actuaciones a realizar en este servicio que permitirá el alta de consultas, informes, demás actuaciones

previstas, así como, las incidencias que puedan surgir.

Herramienta de gestión de la seguridad de datos personales.

El resultado de los trabajos realizados se consolidará en la herramienta ASSI-RGPD (Auditoría de

Seguridad de los Sistemas de Información – Reglamento General de Protección de Datos) o la que la

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Agencia de Protección de Datos ponga disponible en el momento de ejecución del servicio. ASSI-RGPD

es una aplicación que permite a la organización mantener un Registro de Actividades de Tratamiento

de Datos Personales, así como facilitar el cumplimiento del resto de obligaciones del Reglamento

General de Protección de Datos (RGPD), incluyendo la realización de análisis de riesgos y la evaluación

de impacto y la determinación de las medidas de protección derivadas. Se basa en una serie de

cuestionarios cuidadosamente confeccionados que cada Responsable de Tratamientos de Datos

Personales deberá cumplimentar sobre los Tratamientos bajo su responsabilidad.

La herramienta ASSI-RGPD se instalará en las dependencias de la CHJ. Si la CHJ no pudiera proveer

de esta herramienta, la empresa adjudicataria aportará la herramienta o solución que estime

conveniente, de tal manera que pueda seguir siendo utilizada en la CHJ tras la finalización del servicio.

Herramienta de control de calidad del servicio.

Para facilitar la ejecución del plan de aseguramiento de la calidad previsto, es conveniente que la

empresa disponga de una herramienta de control de la calidad del servicio que permita monitorizarlo a

lo largo de todo su ciclo de vida.

7. TRANSFERENCIA TECNOLÓGICA

- Inicio de los trabajos: Se establecerá una Reunión inicial de inicio del proyecto. También

se deberá realizar la presentación del equipo y de los recursos disponibles.

- Durante la ejecución de los trabajos: el adjudicatario se compromete, en todo momento,

a facilitar a las personas designadas por el centro directivo a tales efectos, la información

y documentación que éstas soliciten para disponer de un pleno conocimiento de las

circunstancias en que se desarrollan los trabajos, así como de los eventuales problemas

que puedan plantearse, las tecnologías, métodos, y herramientas utilizados para

resolverlos.

- Devolución del servicio: Será responsabilidad del adjudicatario garantizar el retorno de

conocimiento al organismo, para ello deberá disponer de la documentación de acuerdo

con el plan de transferencia y con los entregables solicitados, además de la que considere

oportuno para cumplir con esta necesidad. El licitador se compromete a realizar la

transferencia del conocimiento al equipo designado por el Organismo. Igualmente, en un

periodo de TRES (3) meses previos a la finalización del contrato, el adjudicatario deberá

colaborar con el retorno de los servicios a la CHJ o cualquier tercero que ésta determine.

Para ello deberá facilitar la descarga de toda la información almacenada o generada en la

gestión y ejecución de este contrato, así como al menos una jornada presencial en el

antepenúltimo mes de los trabajos.

8. PAGO DE LOS SERVICIOS Y FACTURACIÓN

El abono de los trabajos se llevará a cabo mediante certificaciones bimestrales, de acuerdo con la

estructura del Presupuesto de la Administración, aplicándole los precios de la oferta objeto del contrato

y según lo especificado en el presente apartado.

Se abonarán bimestralmente las actuaciones realizadas y validadas por CHJ, según el siguiente detalle:

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Capítulo Código

Unitario Descripción Pago

1 01 Informe de auditoría y asesoría

Se abonará el 40% del total a la recepción

del entregable señalado en el punto 4.1

del PPT y el 60% del total a la recepción

de los entregables señalados en el punto

4.2 y 4.3 del PPT

1 02 Informe de propuestas tecnológicas centralización Se abonará a la recepción del entregable

señalado en el punto 4.4 del PPT

1 03 Informe de cumplimiento sistema centralizado Se abonará a la recepción del entregable


1 04 Documentación Se abonará a la recepción del entregable

señalado en el punto 4.6 y 4.7 del PPT

1 05 Formación y concienciación Se abonará a la finalización

2 01 Auditoría de LOPDGDD y asesoría de cumplimiento





4.10 y 4.11 del PPT

3 01 Consulta específica. Se abonarán las actuaciones realizadas

3 02 Consulta básica. Se abonarán las actuaciones realizadas

3 03 Consulta compleja. Se abonarán las actuaciones realizadas

3 04 Consulta-informe. Se abonarán las actuaciones realizadas

3 05 Informe-propuesta Se abonarán las actuaciones realizadas

3 06 Formación y concienciación Se abonará a la recepción del entregable


4 01 Auditoría de cumplimiento de la normativa de

protección de datos personales y asesoría.





4.16 y 4.17 del PPT

5 01 Plan de Gestión

Se abonará el 70 % del total tras la

recepción y validación del Plan, y el 30%

del total a los seis meses después del

inicio del servicio y tras la validación de

su actualización.

5 02 Gestión de Proyecto Se abonará bimestralmente 1/12 del total

6 01 Plan de aseguramiento de la calidad de los trabajos

Se abonará el 70 % del total tras la

recepción y validación del Plan, y el 30%

del total a los seis meses después del

inicio del servicio y tras la validación de

su actualización.

6 02 Gestión de Calidad



del PPT, el 15% del total a la recepción


del PPT, el 15% del total a la recepción




del PPT.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



9. CONSULTAS SOBRE EL PLIEGO.

Durante el periodo de licitación y ante cualquier duda o necesidad de aclaración referida a este Pliego

técnico, los licitadores podrán dirigirse a:

CONFEDERACIÓN HIDROGRÁFICA DEL JÚCAR, O.A.

Persona de contacto: Maria Inmaculada Bernal Navarro

Teléfono: 963938015

E-mail: [email protected]

CONFEDERACIÓN HIDROGRÁFICA DEL JÚCAR, O.A.

Persona de contacto: Alejandro Morelló Milán

Teléfono: 963939017

E-mail: [email protected]

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



10. PRESUPUESTO

1. Relación de precios unitarios

Se relacionan a continuación los precios unitarios que se utilizan para conformar las unidades de trabajo del presupuesto.

Código Unitario Concepto Precio

JP CJ CT AC EV

Hora de Jefe de Proyecto ……….……………………………………………………………… Hora de Consultor Jurídico ………………………………….…………………………………. Hora de Consultor Técnico …………………………………………………………………….. Hora de Analista de Calidad …..………………………………………………………………. Hora de Experto en sistemas de videovigilancia y control de accesos………

60 € 56 € 56 € 56 € 56 €

2. Precios descompuestos.

Capítulo 1.- VIDEOVIGILANCIA Y CONTROL DE ACCESOS

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

1 01 Ud Informe de auditoría y asesoría

CJ 73 Consultor Jurídico 56 € 4.088,00 €

CT/EV 73 Consultor Técnico/Experto en sistemas de

videovigilancia y control de accesos

56 € 4.088,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 8.176,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

2 02 Ud Informe de propuestas tecnológicas

centralización

EV 56 Experto en sistemas de videovigilancia y control

de accesos

56 € 3.136,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 3.136,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

3 03 Ud Informe de cumplimiento sistema centralizado

CJ 17 Consultor Jurídico 56 € 952,00 €

CT/EV 3 Consultor técnico/Experto en sistemas de


56 € 168,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 1.120,00 €

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

4 04 Ud Documentación




56 € 1.568,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 3.136,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

5 05 Ud Formación y concienciación

CJ 8 Consultor Jurídico 56 € 448,00 €



56 € 448,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 896,00 €

Capítulo 2.- AUDITORÍA Y ASESORÍA DE CUMPLIMIENTO NORMATIVO

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

1 01 Ud Análisis de nuevas obligaciones normativas

(excepto derechos digitales)


CT 27 Consultor Técnico 56 € 1.512,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 3.024,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

2 02 Ud Auditoría de cumplimiento de la normativa de

protección de datos personales y asesoría


CT 24 Consultor Técnico 56 € 1.344,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 2.688,00 €

Capítulo 3.- CONSULTORÍA

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

1 01 Ud Consulta específica

CJ/CT 18 Consultor Jurídico/Consultor Técnico 28 € 504,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 504,00 €

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

2 02 Ud Consulta básica

CJ/CT 8 Consultor Jurídico/Consultor Técnico 168 € 1.344,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 1.344,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

3 03 Ud Consulta compleja


TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 3.808,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

4 04 Ud Consulta-Informe


TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 7.168,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

5 05 Ud Informe-Propuesta


TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 2.240,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

6 06 Ud Formación y concienciación

CJ/CT 1 Consultor Jurídico/Consultor Técnico 896 € 896,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 896,00 €

Capítulo 4.- GESTIÓN Y CONTROL DEL PROYECTO

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

1 01 Ud Plan de Gestión

JP 14 Jefe de Proyecto 60 € 840,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 840,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

2 02 Ud Gestión de Proyecto

JP 40 Jefe de Proyecto 60 € 2.400,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 2.400,00 €

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Capítulo 5.- CALIDAD

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

1 01 Ud Plan de aseguramiento de la calidad

AC 15 Analista de Calidad 56 € 840,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 840,00 €

Ord. Código

Unitario

Medición

(Ud) Descripción

Precio

(€)

Subtotal

(€)

Total

(€)

2 02 Ud Gestión de Calidad

AC 58 Analista de Calidad 56 € 3.248,00 €

TOTAL PARTIDA …………………………………………………………………………………………………………………………………… 3.248,00 €

3. Presupuesto de los trabajos a realizar. 3.1 Presupuesto general.

Capítulo 1.- VIDEOVIGILANCIA Y CONTROL DE ACCESOS

Ord. Código

Unitario Descripción

Precio

(€)

Cantidad

(Ud)

Total

(€)

1 01 Informe de auditoría y asesoría 8.176,00 € 1 8.176,00 €

2 02 Informe de propuestas tecnológicas

centralización 3.136,00 € 1 3.136,00 €

3 03 Informe de cumplimiento sistema centralizado 1.120,00 € 1 1.120,00 €

4 04 Documentación 3.136,00 € 1 3.136,00 €

5 05 Formación y concienciación 896,00 € 1 896,00 €

Total Capítulo 1 ……………………………………………………. 16.464,00 €

Capítulo 2.- AUDITORÍA Y ASESORÍA DE CUMPLIMIENTO NORMATIVO

Ord. Código


Cantidad

(Ud)

Total

(€)

1 01 Análisis de nuevas obligaciones normativas

(excepto derechos digitales)

1 3.024,00 €

2 02 Auditoría de cumplimiento de la normativa de protección de

datos personales y asesoría

1 2.688,00 €

Total Capítulo 2 ……………………………………………………. 5.712,00 €

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Capítulo 3.- CONSULTORÍA

Ord. Código


Precio

(€)

Cantidad

(Ud)

Total

(€)

1 01 Consulta específica. 28,00 € 18 504,00 €

2 02 Consulta básica. 168,00 € 8 1.344,00 €

3 03 Consulta compleja. 224,00 € 17 3.808,00 €

4 04 Consulta-informe. 448,00 € 16 7.168,00 €

5 05 Informe-propuesta 224,00 € 10 2.240,00 €

6 06 Formación y concienciación 896,00 € 1 896,00 €

Total Capítulo 3 ……………………………………………………. 15.960,00 €

Capítulo 4.- GESTIÓN Y CONTROL DEL PROYECTO

Ord. Código

Unitario Descripción Total (€)

1 01 Plan de Gestión 840,00 €

2 02 Gestión de Proyecto 2.400,00 €

Total Capítulo 5 ………………………………………………………. 3.240,00 €

Capítulo 5.- CALIDAD

Ord. Código

Unitario Descripción Total (€)

1 01 Plan de aseguramiento de la calidad 840,00 €

2 02 Gestión de calidad 3.248,00 €

Total Capítulo 6 ………………………………………………………. 4.088,00 €

RESUMEN DE PRESUPUESTOS POR CAPÍTULOS:

Cód. Descripción Parcial (€)

1 Capítulo 1- VIDEOVIGILANCIA Y CONTROL DE ACCESOS 16.464,00 €

2 Capítulo 2- AUDITORÍA Y ASESORÍA DE CUMPLIMIENTO NORMATIVO 5.712,00 €

3 Capítulo 3- CONSULTORÍA 15.960,00 €

5 Capítulo 4- GESTIÓN Y CONTROL DEL PROYECTO 3.240,00 €

6 Capítulo 5- CALIDAD 4.088,00 €

PRESUPUESTO DE EJECUCIÓN MATERIAL…………………………………………………………………………… 45.464,00 €

3. Presupuesto Base de Licitación

Presupuesto de Ejecución Material 45.464,00 €

Presupuesto Base de Licitación sin IVA (incluye Gastos Generales y B.I.) 45.464,00 €

21% de IVA 9.547,44 €

Presupuesto Base de Licitación con IVA 55.011,44 €

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



El Presupuesto Base de Licitación sin IVA para la realización de los trabajos objeto del presente Pliego, asciende a la cantidad de CUARENTA Y CINCO MIL CUATROCIENTOS SESENTA Y CUATRO EUROS (45.464,00€). El Presupuesto Base de Licitación con IVA para la realización de los trabajos objeto del presente Pliego, asciende a la cantidad de CINCUENTA Y CINCO MIL ONCE EUROS, CON CUARENTA Y CUATRO CÉNTIMOS DE EURO (55.011,44 €).

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



ANEXO I: Requisitos mínimos del equipo de trabajo y del equipo de calidad.

Para la realización de los trabajos se tendrán en cuenta los siguientes perfiles:

Perfil Requerimientos

Jefe de Proyecto

Generales:

Titulación universitaria superior (Ingeniería superior o Licenciatura) en

Informática, Telecomunicaciones, o relacionada con las Tecnologías de la

Información y las Comunicaciones.

Específicos:

Experiencia acreditada de más de 6 años en proyectos de Seguridad de la

Información y en Protección de Datos Personales.

Certificado como Delegado de Protección de Datos (1)

Consultor

jurídico

Generales:

Titulación oficial de Grado en Derecho

Específicos:

Máster en Protección de datos o equivalente

Experiencia acreditada de, al menos 2 años, en proyectos de adecuación al

RGPD

Consultor

técnico

Generales:

Titulación oficial en Ingeniería Técnica Informática o superior

Específicos:

Conocimientos y experiencia acreditados de, al menos 2 años, en proyectos

de mantenimiento de sistemas de gestión de la seguridad de la información

Experto en

sistemas de

videovigilancia y

control de

accesos

Generales:

Ingeniero Técnico o superior de informática o telecomunicaciones o

relacionada con las Tecnologías de la Información y las Comunicaciones.

Específicos:

Conocimientos y experiencia acreditados de, al menos dos años, en

sistemas de videovigilancia

(1) Expedido por entidades de certificación acreditadas por ENAC. El Jefe de

Proyecto podrá no tener el certificado de Delegado de Protección de Datos siempre que el

consultor técnico o el consultor jurídico lo tengan.

El equipo de trabajo propuesto deberá disponer en su conjunto de, al menos, dos de las

siguientes acreditaciones: CISA, LEAD AUDITOR, CISM o CRISC.

Para la realización de los trabajos se estima necesario un equipo de trabajo que incluya, como

mínimo, una persona para los perfiles: Jefe de Proyecto, Consultor jurídico y Consultor técnico.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Asimismo, deberá aportarse un experto en sistemas de videovigilancia y control de accesos, en el caso

de que el Consultor técnico no disponga de estos conocimientos y experiencia acreditados.

El equipo de calidad al menos incluirá el siguiente perfil:

Perfil Requerimientos

Analista de calidad

Generales:

Ingeniero o Diplomado Técnico o superior.

Específicos:

Conocimientos y experiencia acreditados de, al menos cinco años, en

control de calidad incluyendo planificación, gestión, control, consultoría y

dirección de equipos de trabajo

Conocimientos acreditados en materia de protección de datos

El personal asignado al control de calidad actuará de forma independiente del equipo de trabajo

operativo, velando por el cumplimiento y buenas prácticas durante el ciclo de vida del servicio y de la

documentación generada.

El adjudicatario deberá disponer de un grupo de recursos de apoyo que ayudarán a las personas

del equipo de trabajo ante dudas o consultas de especial dificultad. El adjudicatario debe poder ofrecer

soporte para responder a cuestiones relacionadas con las tecnologías propuestas para la centralización

de los sistemas de videovigilancia, incluso si se trata de información conocida por el fabricante. El

adjudicatario indicará cuáles son dichos recursos de apoyo.

ANEXO II: Compromiso de protección de datos

CLÁUSULA/APARTADO PROTECCIÓN DE DATOS PERSONALES

1. Normativa

En el caso de que la prestación objeto del contrato implique el acceso del adjudicatario a datos de carácter personal de cuyo tratamiento sea responsable la Confederación Hidrográfica del Júcar, O.A., será de aplicación de conformidad con la disposición adicional 25ª de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en adelante, LOPDGDD), teniendo la Confederación Hidrográfica del Júcar, O.A. la condición de responsable del tratamiento y el adjudicatario la de encargado del tratamiento.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



2. Tratamiento de los datos personales

El acceso a esos datos no se considerará comunicación de datos, cuando se cumpla lo previsto en el artículo 28 del RGPD y el adjudicatario deberá garantizar el cumplimiento de la normativa anterior, en concreto de las obligaciones y estipulaciones recogidas en el Anexo: Protección de Datos Personales. A tal efecto, se firmará el Anexo: Protección de datos Personales que se incorporará como anejo al contrato que se firme con el adjudicatario.

Estas obligaciones no serán retribuirles de forma diferente a lo previsto en el pliego y demás

documentos contractuales y tendrán la misma duración que la prestación objeto del contrato, prorrogándose en su caso por períodos iguales a éste, sin perjuicio de las obligaciones que deban continuar aún tras la finalización del contrato sin límite de tiempo para todas las personas involucradas en su ejecución, tales como el compromiso de confidencialidad.

3. Tratamiento de datos personales facilitados el medio propio

Los datos de carácter personal facilitados por el contratista serán tratados por la Confederación Hidrográfica del Júcar, O.A., para ser incorporados a la actividad de tratamiento “Gestión de expedientes de contratación”, cuya finalidad es la tramitación de los expedientes de contratación y gasto y la formalización, desarrollo y ejecución del contrato, necesaria para el cumplimiento de una obligación legal.

Los datos de carácter personal podrán serán comunicados a las entidades públicas competentes (Tribunal de Cuentas u homólogo autonómico; Juzgados o Tribunales) y en los supuestos previstos, según Ley. Asimismo, podrán ser publicados en los tablones y diarios o boletines oficiales de la Administración Pública correspondientes, en el espacio Perfil de Contratante u otros espacios oficiales.

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria, además de los periodos establecidos en la normativa de archivos y patrimonio documental español. Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición

a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento

automatizado de sus datos, cuando procedan, se pueden ejercitar ante la Delegada de Protección de

Datos de la Confederación Hidrográfica del Júcar en la dirección de correo electrónico

[email protected] con copia a [email protected]

ANEXO: “TRATAMIENTO DE DATOS PERSONALES”

1. Normativa

La prestación objeto del contrato AUDITORÍA, CONSULTORÍA Y ASESORÍA EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES (FP.SGC.001/2019) implica el acceso por parte de (adjudicatario) a datos de carácter personal de cuyo tratamiento es responsable la Confederación

Hidrográfica del Júcar, O.A.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



En consecuencia será de aplicación de conformidad con la disposición adicional 25ª de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), teniendo la Confederación Hidrográfica del Júcar, O.A. la condición de responsable del tratamiento y (adjudicatario) la de encargado del tratamiento.

2. Objeto

Mediante el presente anexo se habilita a (adjudicatario), para tratar por cuenta de la Confederación Hidrográfica del Júcar, O.A. los datos de carácter personal necesarios para prestar la ejecución del contrato.

En concreto, la Confederación Hidrográfica del Júcar, O.A. responsable del tratamiento, pondrá a disposición de (adjudicatario):

1Los datos (identificar los datos) de los interesados (seleccionar los posibles interesados)2 y el tratamiento consistirá en (seleccionar las posibles operaciones)3 Y 4

Datos de los interesados: Nombre, apellidos, domicilio, NIF, teléfono, e-mail. Interesados: Trabajadores de la CHJ y ciudadanos.

Tratamiento: Consulta. __________________________________________________________________________

1.Puede que haya más de un tratamiento, incluir todos y para cada uno identificar datos, interesados y operaciones de tratamiento.

2.Categorías de personas interesadas: ciudadanos / usuarios / clientes / trabajadores / pacientes / menores / personas discapacitadas,

otras.

3.Seleccionar posibles operaciones de tratamiento:

- Recogida.

- Registro.

- Estructuración.

- Modificación.

- Conservación.

- Extracción.

- Consulta.

- Comunicación por transmisión.

- Difusión.

- Interconexión.

- Cotejo.

- Limitación.

- Supresión.

- Destrucción.

- Conservación.

- Comunicación.

- Otros (concretar).

4. El adjudicatario podrá incluir tratamientos adiciones a los previstos cuando estos sean necesarios para poder ejecutar el contrato.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



3. Comunicación de datos a terceras personas y transferencias internacionales

Los datos de carácter personal no serán comunicados a terceras personas, ni transferidos a países fuera del Espacio Económico Europeo, salvo que cuenten con la autorización expresa del responsable del tratamiento y en los supuestos legalmente establecidos.

En el caso en que sea autorizado, el responsable identificará los datos a comunicar y/o transferir, los destinatarios, la legitimación correspondiente y las medidas de seguridad a aplicar.

En encargado podrá comunicar los datos a otro encargado que previamente haya sido identificado por el responsable, quien también determinará los datos a comunicar y las medidas de seguridad a aplicar.

3. Sistemas/dispositivos de tratamiento, manuales y automatizados, y ubicaciones

Los sistemas/dispositivos de tratamiento, manuales y automatizados estarán bajo el control (indicar según proceda) 5 de (indicar según proceda)6 y se ubicarán en las instalaciones (indicar según proceda).

En el caso de que, conforme a las bases administrativas del encargo, el encargado quisiera que el control de los sistemas/dispositivos se realizara por otro, será necesario la autorización expresa y

por escrito del responsable.

En el caso de que sea autorizado, se deberá identificar a éste y establecer la ubicación de sus instalaciones.

________________________________________________________________________ 5. Seleccionar si es un control directo o indirecto. 6. Seleccionar bajo de quien está el control; Confederación Hidrográfica del Júcar, O.A. o adjudicatario

4. Obligaciones del encargado del tratamiento

De conformidad con lo previsto en el artículo 28 del RGPD, (adjudicatario) deberá garantizar el

cumplimiento de las siguientes obligaciones:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este contrato. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe la normativa en materia de protección de datos, éste informará inmediatamente al responsable.

c) Mantener el deber de secreto profesional respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente contrato, incluso después de que finalice su objeto.

d) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a seguir las instrucciones del responsable, a respetar la confidencialidad7

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

e) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

f) El encargado del tratamiento se obliga a adoptar medidas técnicas y organizativas para garantizar la seguridad del tratamiento similares o equivalentes a las de la Confederación Hidrográfica del Júcar, O.A. en el marco del Esquema Nacional de Seguridad aprobado por Real Decreto 3/2010,

de 8 de enero. En particular, y sin carácter limitativo, se obliga a aplicar las medidas de seguridad detalladas en el apartado “Medidas de seguridad”.

g) Poner a disposición del responsable toda la documentación necesaria para demostrar el cumplimiento de sus obligaciones.

h) Comunicar al responsable la identidad y datos de contacto del Delegado de Protección de Datos8.

i) Incorporar los tratamientos9 que lleva a cabo en ejecución de este contrato a su registro de actividades del tratamiento efectuadas por cuenta de un responsable, con el contenido del artículo 30.2 del RGPD.

j) En el caso de que las personas afectadas ejerzan los derechos establecidos en los artículos

15 a 22 del RGPD, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección de la Delegada de Protección de Datos de la Confederación Hidrográfica del Júcar, O.A. ([email protected] con copia a [email protected]). La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, junto, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

__________________________________________________________________________

7. Si existe una obligación de confidencialidad de naturaleza estatutaria deberá quedar constancia expresa de la naturaleza y extensión de esta obligación. 8. No será necesario si no se cumple lo recogido en el art. 37.1 del RGPD

9. No será necesario si se cumple lo recogido en el 30.5 del RGPD

6. Medidas de seguridad

Las medidas técnicas y organizativas para garantizar la seguridad deberán ser equivalentes o similares a las recogidas en el Anexo II del Real Decreto 3/2010, de 8 de enero por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con el nivel de seguridad (nivel de seguridad).

7. Gestión de incidentes de seguridad de los datos

Para el tratamiento de los posibles incidentes de seguridad que se produzcan, el adjudicatario designará un interlocutor de seguridad (correo electrónico del interlocutor) que se encargará de

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



comunicar los incidentes de seguridad al responsable del tratamiento [email protected] con copia a [email protected] y de colaborar en su resolución.

En el caso de que se produzcan brechas de seguridad, es decir incidentes que afecten a datos de carácter personal, de conformidad con el artículo 33 del RGPD, el interlocutor de seguridad, notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, a través de los datos de contacto arriba mencionados, confirmando su recepción, los incidentes de seguridad de los datos personales a su cargo de los que tenga

conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia. El responsable lo comunicará en el plazo de 72 horas establecido normativamente.

8. Subcontratación

En el caso de que conforme a lo recogido en el pliego el adjudicatario pretenda subcontratar con terceros las prestaciones que formen parte del objeto de este contrato y el subcontratista, si fuera contratado, deba acceder a datos personales, el adjudicatario lo pondrá en conocimiento previo del responsable del tratamiento identificando qué tratamiento de datos personales conlleva, para que decida, en su caso, si otorgar o no su autorización a dicha subcontratación.

En el caso de que sea autorizado, en el contrato correspondiente se deberán establecer para el

nuevo encargado las mismas obligaciones que para el encargado inicial, en particular, la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas para que el tratamiento sea conforme a las disposiciones del RGPD.

Si el nuevo encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

9. Destino de datos

Una vez finalice la prestación, el encargado devolverá al responsable/encargado que designe por escrito el responsable los datos personales y, (indicar si procede) los soportes donde consten, una vez

cumplida la prestación.

La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado podrá conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Valencia, __de ___________ de 20__

El ADJUDICATARIO

Firmado digitalmente por:

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



ANEXO III: Declaración de cumplimiento de requisitos mínimos

La información de este Anexo será valorada en la acreditación de los medios personales aportados por

el licitador. Previa ejecución del servicio se verificarán los perfiles de las personas aportadas al equipo

de trabajo y al control de calidad conforme a esta declaración.

Las casillas donde se expresa la leyenda “Si/No” están relacionadas con los requisitos mínimos o de

valoración automática. Los requisitos mínimos de cada perfil deben aplicarse a todos y cada uno de las

personas propuestas para dicho perfil.

El licitador deberá rellenar todas las casillas en función del curriculum vitae de las personas que vayan a

ocupar cada perfil.

En cada tabla el licitador puede rellenar otras filas adicionales si lo considera conveniente.

a) Capacidades y conocimientos de los perfiles ofertados

Área de capacidades y conocimientos Jefe de

Proyecto

Consultor

jurídico

Consultor

técnico

Experto en

sistemas de

videovigilancia

Analista de

calidad

Seguridad de la información SÍ/NO SÍ/NO SÍ/NO

Conocimientos acreditados en materia de

protección de datos personales

SÍ/NO SÍ/NO SÍ/NO

Sistemas de videovigilancia. SÍ/NO SÍ/NO

Control de calidad incluyendo planificación,

gestión, control, consultoría y dirección de

equipos de trabajo SÍ/NO

D._______________________________________________________________, con D.N.I.

_________________, como representante legal de la empresa ________________________________________________________________________con

CIF ________________________

En _________________a _________de _____________20__

Fdo.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



ANEXO III(cont.)- DECLARACIÓN DE CUMPLIMIENTO DE REQUISITOS

MÍNIMOS (se deberá aportar por la Empresa Adjudicataria).

b) Experiencia de los perfiles ofertados.

Área de experiencia

Experiencia

mínima

(años)

Jefe de

Proyecto

Consultor

jurídico

Consultor

técnico

Experto en

sistemas de

videovigilancia

Analista

de

calidad

Experiencia acreditada en

proyectos de Seguridad dela

Información y en protección de

datos generales

>6

SÍ/NO

Amplia experiencia en la

realización de adecuaciones a la

LOPDGDD Y RGPD >2

SÍ/NO

Experiencia en proyectos de

mantenimiento de sistemas de

gestión de la seguridad de la

información

>2

SÍ/NO

Experiencia en sistemas de

videovigilancia. >2

SÍ/NO

Experiencia en control de calidad

incluyendo planificación, gestión,

control, consultoría y dirección de

equipos de trabajo

>5

SÍ/NO

D._______________________________________________________________, con D.N.I.

_________________, como representante legal de la empresa

________________________________________________________________________con

CIF ________________________

En _________________a _________de _____________20__

Fdo.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



c) Titulación y formación específica de los perfiles ofertados.

Titulación

Jefe de

Proyecto

Consultor

jurídico

Consultor

técnico

Experto en

sistemas de

videovigilancia

Analista de

calidad

Titulación universitaria superior

(Ingeniería superior o Licenciatura) en

Informática, Telecomunicaciones, o

relacionada con las Tecnologías de la

Información y Comunicaciones

SÍ/NO

Certificado como Delegado de

Protección de Datos SÍ/NO SÍ/NO SÍ/NO

Titulación oficial de Grado en

Derecho

SÍ/NO

Máster en Protección de datos o

equivalente

SÍ/NO

Titulación oficial en Ingeniería Técnica

Informática o superior

SÍ/NO

Titulación oficial en Ingeniería Técnica

o superior de Informática o

Telecomunicaciones o relacionada con

las Tecnologías de la Información y las

Comunicaciones.

SÍ/NO

Titulación oficial en Ingeniería o

Diplomatura Técnica o superior

SÍ/NO

Formación reconocida y certificada en

materia de ciberseguridad

Titulación oficial en protección de

datos personales SÍ/NO SÍ/NO SÍ/NO SÍ/NO SÍ/NO

Titulación oficial o reputada

relacionada con sistemas de

videovigilancia SÍ/NO SÍ/NO

Disponer de la acreditación: CISA SÍ/NO SÍ/NO SÍ/NO SÍ/NO SÍ/NO

Disponer de la acreditación: LEAD

AUDITOR SÍ/NO SÍ/NO SÍ/NO SÍ/NO SÍ/NO

Disponer de la acreditación: CISM SÍ/NO SÍ/NO SÍ/NO SÍ/NO SÍ/NO

Disponer de la acreditación: CRISC SÍ/NO SÍ/NO SÍ/NO SÍ/NO SÍ/NO

Formación reconocida y certificada en

materia de calidad SÍ/NO SÍ/NO

Titulación oficial de seguridad de los

sistemas

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



D._______________________________________________________________, con D.N.I.


________________________________________________________________________con

CIF ________________________

En _________________a _________de _____________20__

Fdo.

d) Certificaciones de empresa.

Área de certificaciones de empresa Nivel alto Nivel medio Nivel bajo

Certificación de cumplimiento del ENS

D._______________________________________________________________, con D.N.I.


________________________________________________________________________con

CIF ________________________

En _________________a _________de _____________20__

Fdo.

El firmante acepta el cumplimiento de todas las condiciones y requisitos expuestos en el documento

de licitación.

CSV

: MA

006199E6B

C58016146A


iteco.gob.es/csv



Valencia, 10 de marzo de 2020

LA JEFA DEL ÁREA

DE RECURSOS HUMANOS Y SERVICIOS CONFORME:

EL SECRETARIO GENERAL Firmado electrónicamente por

María Inmaculada Bernal Navarro Firmado electrónicamente por

Carlos Fernández Gonzalo

pliego de prescripciones tÉcnicas auditorÍa, … · desde este punto de vista, en materia de...

Documents