1
Nordm DE EXPEDIENTE SP18-01377
PLIEGO DE PRESCRIPCIONES TEacuteCNICAS PARTICULARES QUE HAN DE REGIR LA
CONTRATACIOacuteN DEL DESARROLLO EVOLUTIVO DE LOS PORTALES esMADRIDcom
esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA LOS CENTROS DE
INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID PARA MADRID DESTINO
CULTURA TURISMO Y NEGOCIO SA A ADJUDICAR MEDIANTE PROCEDIMIENTO
ABIERTO
2
IacuteNDICE
1 INTRODUCCIOacuteN 4
2 REQUERIMIENTOS TEacuteCNICOS MIacuteNIMOS DEL SERVICIO 4
21 Objeto del contrato 4
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en este pliego 5
23 Centro en los que debe prestarse el servicio 5
24 Plataforma tecnoloacutegica 5
241 Portal de promocioacuten turiacutestica 5
242 Plataforma Profesionales 8
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica 10
244 Aplicativo para gestores 10
245 Aplicativo para informadores 11
246 Otros componentes de la plataforma 12
247 Manual Experiencial 12
25 Mantenimientos evolutivos 12
251 Evolutivos a desarrollar 12
252 esMADRIDcom 12
253 esMADRIDPROcom 13
254 Sistema de informacioacuten digital para los centros de informacioacuten
turiacutestica 15
255 Explora Madrid 15
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento lo evolutivos 16
27 Propiedad de los desarrollos Entrega del coacutedigo fuente 17
28 Documentacioacuten de los desarrollos 17
291 Infraestructura teacutecnica 18
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de
horas 18
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten
del servicio 21
210 Garantiacutea de los trabajos 21
211 Seguridad de la informacioacuten 21
3 Responsable del servicio sustituto 22
4 Responsabilidad 22
5 Obligaciones laborales y sociales 22
3
6 Claacuteusulas sociales de obligado cumplimiento 23
7 DATOS DE CARAacuteCTER PERSONAL 25
Normativa 25
Tratamiento de Datos Personales 26
Estipulaciones como Encargado de Tratamiento 27
Sub-encargos de tratamiento asociados a Subcontrataciones 32
Informacioacuten 32
8 Solicitud de informacioacuten 33
4
Nordm DE EXPEDIENTE SP18-01377
PLIEGO DE PRESCRIPCIONES TEacuteCNICAS PARTICULARES QUE HAN DE REGIR LA
CONTRATACIOacuteN DEL DESARROLLO EVOLUTIVO DE LOS PORTALES esMADRIDcom
esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA LOS CENTROS DE
INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID PARA MADRID DESTINO
CULTURA TURISMO Y NEGOCIO SA A ADJUDICAR MEDIANTE PROCEDIMIENTO
ABIERTO
1 INTRODUCCIOacuteN
La sociedad mercantil municipal Madrid Destino Cultura Turismo Negocio SA (en adelante
Madrid Destino) tiene entre otros objetivos la gestioacuten de programas y actividades culturales
formativas y artiacutesticas la organizacioacuten apoyo y difusioacuten de las mismas la prestacioacuten de todos
los servicios e infraestructuras integrantes o complementarios de estos programas y
actividades la gestioacuten de cualesquiera centros espacios recintos dependencias yo servicios
culturales cuya gestioacuten le fuera encomendada temporal o indefinidamente o cuyo uso le fuera
cedido por el Ayuntamiento de Madrid incluida la contratacioacuten y ejecucioacuten de las obras
instalaciones servicios y suministros para los mismos la gestioacuten de las poliacuteticas municipales
de promocioacuten e informacioacuten turiacutestica de la Ciudad de Madrid la proyeccioacuten de su imagen a
nivel nacional e internacional y la gestioacuten y explotacioacuten de los derechos de propiedad
intelectual derivados de las obras susceptibles de generar tales derechos resultantes de las
anteriores actividades asiacute como la prestacioacuten por cuenta propia o ajena de todo tipo de
servicios relacionados con la organizacioacuten direccioacuten produccioacuten y administracioacuten de eventos
ya sean deportivos exposiciones congresos convenciones seminarios ferias y cualquier otro
evento de naturaleza similar
Por todo lo anterior y para el correcto ejercicio de sus competencias Madrid Destino requiere la
prestacioacuten de los servicios desarrollos evolutivos para las plataformas esMADRIDcom
esMADRIDpro el sistema de informacioacuten digital para los centros de informacioacuten turiacutestica de
Madrid Destino y la plataforma Explora Madrid
2 REQUERIMIENTOS TEacuteCNICOS MIacuteNIMOS DEL SERVICIO
La necesidad de que las proposiciones de las empresas licitadoras se adecuacuteen a los requisitos
exigidos con caraacutecter de miacutenimos obligatorios en los pliegos obedece a la propia finalidad de la
contratacioacuten que se quiere llevar a cabo y a las necesidades que con ella se pretende
satisfacer En consecuencia las ofertas de las empresas que no los cumplan no pueden ser
objeto de valoracioacuten y por tanto seraacuten excluidas de la licitacioacuten
21 Objeto del contrato
Constituye el objeto del presente procedimiento la contratacioacuten de los siguientes servicios
Mantenimiento evolutivo y nuevos desarrollos del portal esMADRIDcom el portal
esMADRIDpro el Sistema Avanzado de Gestioacuten de la Informacioacuten digital para los centros de
Informacioacuten Turiacutestica (SAGIT) y el portal explora Madrid
Como parte del servicio a contratar estaacute tambieacuten el apoyo puntual de perfiles de sistemas
necesarios para el correcto despliegue en los diferentes entornos de calidad y produccioacuten de
5
los diferentes desarrollos que se vayan ejecutando a lo lardo del contrato asiacute como
necesidades configuracioacuten ajustes parametrizacioacuten de los componentes que forman parte de
la plataforma
Es posible que parte o todo el equipo de trabajo asignado deba desplazarse a las oficinas de
Madrid Destino para realizar las tareas objeto del contrato En cualquier caso el adjudicatario
deberaacute proporcionar el equipo informaacutetico (hardware y software) necesario para el desarrollo de
la prestacioacuten del servicio
Los perfiles asignados al proyecto deberaacuten estar seguacuten las necesidades de la produccioacuten en
las oficinas de Madrid Destino El calendario presencial se definiraacute y llevaraacute a cabo durante la
ejecucioacuten del contrato y estaraacute basado en la estimacioacuten presentada por el adjudicatario y en los
miacutenimos de horas presenciales solicitadas por Madrid Destino
Madrid Destino desea contratar un servicio que deberaacute ser prestado como un global por el
adjudicatario proporcionando los medios personales y materiales propios y adecuados a los
niveles de servicio Ademaacutes la organizacioacuten del mismo la iniciativa y la direccioacuten seraacuten
responsabilidades directas del adjudicatario
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en
este pliego
Todas las marcas de fabricantes yo las tecnologiacuteas a las que se hace referencia en este
documento se citan porque Madrid Destino en la actualidad tiene ya instaladas soluciones
basadas en las mismas Por lo tanto los licitadores deberaacuten tener en cuenta la dependencia
tecnoloacutegica de Madrid Destino con las plataformas ya implantadas y en produccioacuten
23 Centro en los que debe prestarse el servicio
En los momentos en que sea necesaria la prestacioacuten del servicio in situ Madrid Destino
notificaraacute con tiempo suficiente y de forma planificada el lugar en el que es necesaria la
prestacioacuten del servicio que seriacutea siempre dentro del Municipio de Madrid
24 Plataforma tecnoloacutegica
La plataforma a mantener estaacute basada en desarrollos a medida basados en el nuacutecleo de la
plataforma de desarrollo Drupal 7x Tambieacuten se incluyen desarrollos de multicanalidad para
aplicativos Windows 10 y otros componentes (ElementiSpinetix para la gestioacuten de pantallas
AngularJS para el Manual Experiencial) Apache Couch DB como base de datos para
intercambio de informacioacuten yo servicios de mapas basados en GeoJSON Tomcat y
OpenLayers
Los moacutedulos y desarrollos sobre los que habraacute de prestarse el mantenimiento son los
siguientes
241 Portal de promocioacuten turiacutestica
El portal esMADRIDcom sirve de canal de promocioacuten turiacutestica de la ciudad de Madrid Este
portal disponible en 9 idiomas da a conocer los principales recursos turiacutesticos (en la
6
actualidad maacutes de 4000) y eventos de agenda (maacutes de 3000 eventos al antildeo) ademaacutes de
disponer de contenidos informativos y promocionales de intereacutes
El portal wwwesmadridcom estaacute desarrollado sobre la plataforma Drupal (759)
configurado en modo multidominio (el mismo gestor se utiliza para la gestioacuten de la
plataforma Explora Madrid) sobre la que se han customizado varios moacutedulos para poder
atender a las necesidades del servicio Existen varias integraciones con otras plataformas
tanto propias (plataforma de profesionales sistema de informacioacuten digital para los centros
de informacioacuten turiacutestica Manual Experiencial aplicacioacuten moacutevil Bienvenidos a Madrid) como
de terceros (plataformas de reservas de restaurantes como restalo eltenedor
saboreamadrid integracioacuten de login de usuarios con Facebook y Twitter integracioacuten con
servicio de asistencia online basado en LiveZilla)
A continuacioacuten se enumeran los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Subsistema CMS
Gestioacuten de estructura y navegacioacuten
Edicioacuten de estilos y CSS
Contenido editorial
Gestioacuten de idiomas
Destacados
Presentaciones
Artiacuteculos
Top Lista
Top Matriz
Home agenda
Homes y subhomes
Recursos Turiacutesticos
o Alojamientos
o Tiendas
o Restaurantes
o Locales Nocturnos
o Deportes
o Rutas
o Avaladores
o Proveedores
Agenda y eventos
Idiomas y traducciones
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
2
IacuteNDICE
1 INTRODUCCIOacuteN 4
2 REQUERIMIENTOS TEacuteCNICOS MIacuteNIMOS DEL SERVICIO 4
21 Objeto del contrato 4
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en este pliego 5
23 Centro en los que debe prestarse el servicio 5
24 Plataforma tecnoloacutegica 5
241 Portal de promocioacuten turiacutestica 5
242 Plataforma Profesionales 8
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica 10
244 Aplicativo para gestores 10
245 Aplicativo para informadores 11
246 Otros componentes de la plataforma 12
247 Manual Experiencial 12
25 Mantenimientos evolutivos 12
251 Evolutivos a desarrollar 12
252 esMADRIDcom 12
253 esMADRIDPROcom 13
254 Sistema de informacioacuten digital para los centros de informacioacuten
turiacutestica 15
255 Explora Madrid 15
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento lo evolutivos 16
27 Propiedad de los desarrollos Entrega del coacutedigo fuente 17
28 Documentacioacuten de los desarrollos 17
291 Infraestructura teacutecnica 18
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de
horas 18
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten
del servicio 21
210 Garantiacutea de los trabajos 21
211 Seguridad de la informacioacuten 21
3 Responsable del servicio sustituto 22
4 Responsabilidad 22
5 Obligaciones laborales y sociales 22
3
6 Claacuteusulas sociales de obligado cumplimiento 23
7 DATOS DE CARAacuteCTER PERSONAL 25
Normativa 25
Tratamiento de Datos Personales 26
Estipulaciones como Encargado de Tratamiento 27
Sub-encargos de tratamiento asociados a Subcontrataciones 32
Informacioacuten 32
8 Solicitud de informacioacuten 33
4
Nordm DE EXPEDIENTE SP18-01377
PLIEGO DE PRESCRIPCIONES TEacuteCNICAS PARTICULARES QUE HAN DE REGIR LA
CONTRATACIOacuteN DEL DESARROLLO EVOLUTIVO DE LOS PORTALES esMADRIDcom
esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA LOS CENTROS DE
INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID PARA MADRID DESTINO
CULTURA TURISMO Y NEGOCIO SA A ADJUDICAR MEDIANTE PROCEDIMIENTO
ABIERTO
1 INTRODUCCIOacuteN
La sociedad mercantil municipal Madrid Destino Cultura Turismo Negocio SA (en adelante
Madrid Destino) tiene entre otros objetivos la gestioacuten de programas y actividades culturales
formativas y artiacutesticas la organizacioacuten apoyo y difusioacuten de las mismas la prestacioacuten de todos
los servicios e infraestructuras integrantes o complementarios de estos programas y
actividades la gestioacuten de cualesquiera centros espacios recintos dependencias yo servicios
culturales cuya gestioacuten le fuera encomendada temporal o indefinidamente o cuyo uso le fuera
cedido por el Ayuntamiento de Madrid incluida la contratacioacuten y ejecucioacuten de las obras
instalaciones servicios y suministros para los mismos la gestioacuten de las poliacuteticas municipales
de promocioacuten e informacioacuten turiacutestica de la Ciudad de Madrid la proyeccioacuten de su imagen a
nivel nacional e internacional y la gestioacuten y explotacioacuten de los derechos de propiedad
intelectual derivados de las obras susceptibles de generar tales derechos resultantes de las
anteriores actividades asiacute como la prestacioacuten por cuenta propia o ajena de todo tipo de
servicios relacionados con la organizacioacuten direccioacuten produccioacuten y administracioacuten de eventos
ya sean deportivos exposiciones congresos convenciones seminarios ferias y cualquier otro
evento de naturaleza similar
Por todo lo anterior y para el correcto ejercicio de sus competencias Madrid Destino requiere la
prestacioacuten de los servicios desarrollos evolutivos para las plataformas esMADRIDcom
esMADRIDpro el sistema de informacioacuten digital para los centros de informacioacuten turiacutestica de
Madrid Destino y la plataforma Explora Madrid
2 REQUERIMIENTOS TEacuteCNICOS MIacuteNIMOS DEL SERVICIO
La necesidad de que las proposiciones de las empresas licitadoras se adecuacuteen a los requisitos
exigidos con caraacutecter de miacutenimos obligatorios en los pliegos obedece a la propia finalidad de la
contratacioacuten que se quiere llevar a cabo y a las necesidades que con ella se pretende
satisfacer En consecuencia las ofertas de las empresas que no los cumplan no pueden ser
objeto de valoracioacuten y por tanto seraacuten excluidas de la licitacioacuten
21 Objeto del contrato
Constituye el objeto del presente procedimiento la contratacioacuten de los siguientes servicios
Mantenimiento evolutivo y nuevos desarrollos del portal esMADRIDcom el portal
esMADRIDpro el Sistema Avanzado de Gestioacuten de la Informacioacuten digital para los centros de
Informacioacuten Turiacutestica (SAGIT) y el portal explora Madrid
Como parte del servicio a contratar estaacute tambieacuten el apoyo puntual de perfiles de sistemas
necesarios para el correcto despliegue en los diferentes entornos de calidad y produccioacuten de
5
los diferentes desarrollos que se vayan ejecutando a lo lardo del contrato asiacute como
necesidades configuracioacuten ajustes parametrizacioacuten de los componentes que forman parte de
la plataforma
Es posible que parte o todo el equipo de trabajo asignado deba desplazarse a las oficinas de
Madrid Destino para realizar las tareas objeto del contrato En cualquier caso el adjudicatario
deberaacute proporcionar el equipo informaacutetico (hardware y software) necesario para el desarrollo de
la prestacioacuten del servicio
Los perfiles asignados al proyecto deberaacuten estar seguacuten las necesidades de la produccioacuten en
las oficinas de Madrid Destino El calendario presencial se definiraacute y llevaraacute a cabo durante la
ejecucioacuten del contrato y estaraacute basado en la estimacioacuten presentada por el adjudicatario y en los
miacutenimos de horas presenciales solicitadas por Madrid Destino
Madrid Destino desea contratar un servicio que deberaacute ser prestado como un global por el
adjudicatario proporcionando los medios personales y materiales propios y adecuados a los
niveles de servicio Ademaacutes la organizacioacuten del mismo la iniciativa y la direccioacuten seraacuten
responsabilidades directas del adjudicatario
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en
este pliego
Todas las marcas de fabricantes yo las tecnologiacuteas a las que se hace referencia en este
documento se citan porque Madrid Destino en la actualidad tiene ya instaladas soluciones
basadas en las mismas Por lo tanto los licitadores deberaacuten tener en cuenta la dependencia
tecnoloacutegica de Madrid Destino con las plataformas ya implantadas y en produccioacuten
23 Centro en los que debe prestarse el servicio
En los momentos en que sea necesaria la prestacioacuten del servicio in situ Madrid Destino
notificaraacute con tiempo suficiente y de forma planificada el lugar en el que es necesaria la
prestacioacuten del servicio que seriacutea siempre dentro del Municipio de Madrid
24 Plataforma tecnoloacutegica
La plataforma a mantener estaacute basada en desarrollos a medida basados en el nuacutecleo de la
plataforma de desarrollo Drupal 7x Tambieacuten se incluyen desarrollos de multicanalidad para
aplicativos Windows 10 y otros componentes (ElementiSpinetix para la gestioacuten de pantallas
AngularJS para el Manual Experiencial) Apache Couch DB como base de datos para
intercambio de informacioacuten yo servicios de mapas basados en GeoJSON Tomcat y
OpenLayers
Los moacutedulos y desarrollos sobre los que habraacute de prestarse el mantenimiento son los
siguientes
241 Portal de promocioacuten turiacutestica
El portal esMADRIDcom sirve de canal de promocioacuten turiacutestica de la ciudad de Madrid Este
portal disponible en 9 idiomas da a conocer los principales recursos turiacutesticos (en la
6
actualidad maacutes de 4000) y eventos de agenda (maacutes de 3000 eventos al antildeo) ademaacutes de
disponer de contenidos informativos y promocionales de intereacutes
El portal wwwesmadridcom estaacute desarrollado sobre la plataforma Drupal (759)
configurado en modo multidominio (el mismo gestor se utiliza para la gestioacuten de la
plataforma Explora Madrid) sobre la que se han customizado varios moacutedulos para poder
atender a las necesidades del servicio Existen varias integraciones con otras plataformas
tanto propias (plataforma de profesionales sistema de informacioacuten digital para los centros
de informacioacuten turiacutestica Manual Experiencial aplicacioacuten moacutevil Bienvenidos a Madrid) como
de terceros (plataformas de reservas de restaurantes como restalo eltenedor
saboreamadrid integracioacuten de login de usuarios con Facebook y Twitter integracioacuten con
servicio de asistencia online basado en LiveZilla)
A continuacioacuten se enumeran los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Subsistema CMS
Gestioacuten de estructura y navegacioacuten
Edicioacuten de estilos y CSS
Contenido editorial
Gestioacuten de idiomas
Destacados
Presentaciones
Artiacuteculos
Top Lista
Top Matriz
Home agenda
Homes y subhomes
Recursos Turiacutesticos
o Alojamientos
o Tiendas
o Restaurantes
o Locales Nocturnos
o Deportes
o Rutas
o Avaladores
o Proveedores
Agenda y eventos
Idiomas y traducciones
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
3
6 Claacuteusulas sociales de obligado cumplimiento 23
7 DATOS DE CARAacuteCTER PERSONAL 25
Normativa 25
Tratamiento de Datos Personales 26
Estipulaciones como Encargado de Tratamiento 27
Sub-encargos de tratamiento asociados a Subcontrataciones 32
Informacioacuten 32
8 Solicitud de informacioacuten 33
4
Nordm DE EXPEDIENTE SP18-01377
PLIEGO DE PRESCRIPCIONES TEacuteCNICAS PARTICULARES QUE HAN DE REGIR LA
CONTRATACIOacuteN DEL DESARROLLO EVOLUTIVO DE LOS PORTALES esMADRIDcom
esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA LOS CENTROS DE
INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID PARA MADRID DESTINO
CULTURA TURISMO Y NEGOCIO SA A ADJUDICAR MEDIANTE PROCEDIMIENTO
ABIERTO
1 INTRODUCCIOacuteN
La sociedad mercantil municipal Madrid Destino Cultura Turismo Negocio SA (en adelante
Madrid Destino) tiene entre otros objetivos la gestioacuten de programas y actividades culturales
formativas y artiacutesticas la organizacioacuten apoyo y difusioacuten de las mismas la prestacioacuten de todos
los servicios e infraestructuras integrantes o complementarios de estos programas y
actividades la gestioacuten de cualesquiera centros espacios recintos dependencias yo servicios
culturales cuya gestioacuten le fuera encomendada temporal o indefinidamente o cuyo uso le fuera
cedido por el Ayuntamiento de Madrid incluida la contratacioacuten y ejecucioacuten de las obras
instalaciones servicios y suministros para los mismos la gestioacuten de las poliacuteticas municipales
de promocioacuten e informacioacuten turiacutestica de la Ciudad de Madrid la proyeccioacuten de su imagen a
nivel nacional e internacional y la gestioacuten y explotacioacuten de los derechos de propiedad
intelectual derivados de las obras susceptibles de generar tales derechos resultantes de las
anteriores actividades asiacute como la prestacioacuten por cuenta propia o ajena de todo tipo de
servicios relacionados con la organizacioacuten direccioacuten produccioacuten y administracioacuten de eventos
ya sean deportivos exposiciones congresos convenciones seminarios ferias y cualquier otro
evento de naturaleza similar
Por todo lo anterior y para el correcto ejercicio de sus competencias Madrid Destino requiere la
prestacioacuten de los servicios desarrollos evolutivos para las plataformas esMADRIDcom
esMADRIDpro el sistema de informacioacuten digital para los centros de informacioacuten turiacutestica de
Madrid Destino y la plataforma Explora Madrid
2 REQUERIMIENTOS TEacuteCNICOS MIacuteNIMOS DEL SERVICIO
La necesidad de que las proposiciones de las empresas licitadoras se adecuacuteen a los requisitos
exigidos con caraacutecter de miacutenimos obligatorios en los pliegos obedece a la propia finalidad de la
contratacioacuten que se quiere llevar a cabo y a las necesidades que con ella se pretende
satisfacer En consecuencia las ofertas de las empresas que no los cumplan no pueden ser
objeto de valoracioacuten y por tanto seraacuten excluidas de la licitacioacuten
21 Objeto del contrato
Constituye el objeto del presente procedimiento la contratacioacuten de los siguientes servicios
Mantenimiento evolutivo y nuevos desarrollos del portal esMADRIDcom el portal
esMADRIDpro el Sistema Avanzado de Gestioacuten de la Informacioacuten digital para los centros de
Informacioacuten Turiacutestica (SAGIT) y el portal explora Madrid
Como parte del servicio a contratar estaacute tambieacuten el apoyo puntual de perfiles de sistemas
necesarios para el correcto despliegue en los diferentes entornos de calidad y produccioacuten de
5
los diferentes desarrollos que se vayan ejecutando a lo lardo del contrato asiacute como
necesidades configuracioacuten ajustes parametrizacioacuten de los componentes que forman parte de
la plataforma
Es posible que parte o todo el equipo de trabajo asignado deba desplazarse a las oficinas de
Madrid Destino para realizar las tareas objeto del contrato En cualquier caso el adjudicatario
deberaacute proporcionar el equipo informaacutetico (hardware y software) necesario para el desarrollo de
la prestacioacuten del servicio
Los perfiles asignados al proyecto deberaacuten estar seguacuten las necesidades de la produccioacuten en
las oficinas de Madrid Destino El calendario presencial se definiraacute y llevaraacute a cabo durante la
ejecucioacuten del contrato y estaraacute basado en la estimacioacuten presentada por el adjudicatario y en los
miacutenimos de horas presenciales solicitadas por Madrid Destino
Madrid Destino desea contratar un servicio que deberaacute ser prestado como un global por el
adjudicatario proporcionando los medios personales y materiales propios y adecuados a los
niveles de servicio Ademaacutes la organizacioacuten del mismo la iniciativa y la direccioacuten seraacuten
responsabilidades directas del adjudicatario
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en
este pliego
Todas las marcas de fabricantes yo las tecnologiacuteas a las que se hace referencia en este
documento se citan porque Madrid Destino en la actualidad tiene ya instaladas soluciones
basadas en las mismas Por lo tanto los licitadores deberaacuten tener en cuenta la dependencia
tecnoloacutegica de Madrid Destino con las plataformas ya implantadas y en produccioacuten
23 Centro en los que debe prestarse el servicio
En los momentos en que sea necesaria la prestacioacuten del servicio in situ Madrid Destino
notificaraacute con tiempo suficiente y de forma planificada el lugar en el que es necesaria la
prestacioacuten del servicio que seriacutea siempre dentro del Municipio de Madrid
24 Plataforma tecnoloacutegica
La plataforma a mantener estaacute basada en desarrollos a medida basados en el nuacutecleo de la
plataforma de desarrollo Drupal 7x Tambieacuten se incluyen desarrollos de multicanalidad para
aplicativos Windows 10 y otros componentes (ElementiSpinetix para la gestioacuten de pantallas
AngularJS para el Manual Experiencial) Apache Couch DB como base de datos para
intercambio de informacioacuten yo servicios de mapas basados en GeoJSON Tomcat y
OpenLayers
Los moacutedulos y desarrollos sobre los que habraacute de prestarse el mantenimiento son los
siguientes
241 Portal de promocioacuten turiacutestica
El portal esMADRIDcom sirve de canal de promocioacuten turiacutestica de la ciudad de Madrid Este
portal disponible en 9 idiomas da a conocer los principales recursos turiacutesticos (en la
6
actualidad maacutes de 4000) y eventos de agenda (maacutes de 3000 eventos al antildeo) ademaacutes de
disponer de contenidos informativos y promocionales de intereacutes
El portal wwwesmadridcom estaacute desarrollado sobre la plataforma Drupal (759)
configurado en modo multidominio (el mismo gestor se utiliza para la gestioacuten de la
plataforma Explora Madrid) sobre la que se han customizado varios moacutedulos para poder
atender a las necesidades del servicio Existen varias integraciones con otras plataformas
tanto propias (plataforma de profesionales sistema de informacioacuten digital para los centros
de informacioacuten turiacutestica Manual Experiencial aplicacioacuten moacutevil Bienvenidos a Madrid) como
de terceros (plataformas de reservas de restaurantes como restalo eltenedor
saboreamadrid integracioacuten de login de usuarios con Facebook y Twitter integracioacuten con
servicio de asistencia online basado en LiveZilla)
A continuacioacuten se enumeran los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Subsistema CMS
Gestioacuten de estructura y navegacioacuten
Edicioacuten de estilos y CSS
Contenido editorial
Gestioacuten de idiomas
Destacados
Presentaciones
Artiacuteculos
Top Lista
Top Matriz
Home agenda
Homes y subhomes
Recursos Turiacutesticos
o Alojamientos
o Tiendas
o Restaurantes
o Locales Nocturnos
o Deportes
o Rutas
o Avaladores
o Proveedores
Agenda y eventos
Idiomas y traducciones
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
4
Nordm DE EXPEDIENTE SP18-01377
PLIEGO DE PRESCRIPCIONES TEacuteCNICAS PARTICULARES QUE HAN DE REGIR LA
CONTRATACIOacuteN DEL DESARROLLO EVOLUTIVO DE LOS PORTALES esMADRIDcom
esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA LOS CENTROS DE
INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID PARA MADRID DESTINO
CULTURA TURISMO Y NEGOCIO SA A ADJUDICAR MEDIANTE PROCEDIMIENTO
ABIERTO
1 INTRODUCCIOacuteN
La sociedad mercantil municipal Madrid Destino Cultura Turismo Negocio SA (en adelante
Madrid Destino) tiene entre otros objetivos la gestioacuten de programas y actividades culturales
formativas y artiacutesticas la organizacioacuten apoyo y difusioacuten de las mismas la prestacioacuten de todos
los servicios e infraestructuras integrantes o complementarios de estos programas y
actividades la gestioacuten de cualesquiera centros espacios recintos dependencias yo servicios
culturales cuya gestioacuten le fuera encomendada temporal o indefinidamente o cuyo uso le fuera
cedido por el Ayuntamiento de Madrid incluida la contratacioacuten y ejecucioacuten de las obras
instalaciones servicios y suministros para los mismos la gestioacuten de las poliacuteticas municipales
de promocioacuten e informacioacuten turiacutestica de la Ciudad de Madrid la proyeccioacuten de su imagen a
nivel nacional e internacional y la gestioacuten y explotacioacuten de los derechos de propiedad
intelectual derivados de las obras susceptibles de generar tales derechos resultantes de las
anteriores actividades asiacute como la prestacioacuten por cuenta propia o ajena de todo tipo de
servicios relacionados con la organizacioacuten direccioacuten produccioacuten y administracioacuten de eventos
ya sean deportivos exposiciones congresos convenciones seminarios ferias y cualquier otro
evento de naturaleza similar
Por todo lo anterior y para el correcto ejercicio de sus competencias Madrid Destino requiere la
prestacioacuten de los servicios desarrollos evolutivos para las plataformas esMADRIDcom
esMADRIDpro el sistema de informacioacuten digital para los centros de informacioacuten turiacutestica de
Madrid Destino y la plataforma Explora Madrid
2 REQUERIMIENTOS TEacuteCNICOS MIacuteNIMOS DEL SERVICIO
La necesidad de que las proposiciones de las empresas licitadoras se adecuacuteen a los requisitos
exigidos con caraacutecter de miacutenimos obligatorios en los pliegos obedece a la propia finalidad de la
contratacioacuten que se quiere llevar a cabo y a las necesidades que con ella se pretende
satisfacer En consecuencia las ofertas de las empresas que no los cumplan no pueden ser
objeto de valoracioacuten y por tanto seraacuten excluidas de la licitacioacuten
21 Objeto del contrato
Constituye el objeto del presente procedimiento la contratacioacuten de los siguientes servicios
Mantenimiento evolutivo y nuevos desarrollos del portal esMADRIDcom el portal
esMADRIDpro el Sistema Avanzado de Gestioacuten de la Informacioacuten digital para los centros de
Informacioacuten Turiacutestica (SAGIT) y el portal explora Madrid
Como parte del servicio a contratar estaacute tambieacuten el apoyo puntual de perfiles de sistemas
necesarios para el correcto despliegue en los diferentes entornos de calidad y produccioacuten de
5
los diferentes desarrollos que se vayan ejecutando a lo lardo del contrato asiacute como
necesidades configuracioacuten ajustes parametrizacioacuten de los componentes que forman parte de
la plataforma
Es posible que parte o todo el equipo de trabajo asignado deba desplazarse a las oficinas de
Madrid Destino para realizar las tareas objeto del contrato En cualquier caso el adjudicatario
deberaacute proporcionar el equipo informaacutetico (hardware y software) necesario para el desarrollo de
la prestacioacuten del servicio
Los perfiles asignados al proyecto deberaacuten estar seguacuten las necesidades de la produccioacuten en
las oficinas de Madrid Destino El calendario presencial se definiraacute y llevaraacute a cabo durante la
ejecucioacuten del contrato y estaraacute basado en la estimacioacuten presentada por el adjudicatario y en los
miacutenimos de horas presenciales solicitadas por Madrid Destino
Madrid Destino desea contratar un servicio que deberaacute ser prestado como un global por el
adjudicatario proporcionando los medios personales y materiales propios y adecuados a los
niveles de servicio Ademaacutes la organizacioacuten del mismo la iniciativa y la direccioacuten seraacuten
responsabilidades directas del adjudicatario
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en
este pliego
Todas las marcas de fabricantes yo las tecnologiacuteas a las que se hace referencia en este
documento se citan porque Madrid Destino en la actualidad tiene ya instaladas soluciones
basadas en las mismas Por lo tanto los licitadores deberaacuten tener en cuenta la dependencia
tecnoloacutegica de Madrid Destino con las plataformas ya implantadas y en produccioacuten
23 Centro en los que debe prestarse el servicio
En los momentos en que sea necesaria la prestacioacuten del servicio in situ Madrid Destino
notificaraacute con tiempo suficiente y de forma planificada el lugar en el que es necesaria la
prestacioacuten del servicio que seriacutea siempre dentro del Municipio de Madrid
24 Plataforma tecnoloacutegica
La plataforma a mantener estaacute basada en desarrollos a medida basados en el nuacutecleo de la
plataforma de desarrollo Drupal 7x Tambieacuten se incluyen desarrollos de multicanalidad para
aplicativos Windows 10 y otros componentes (ElementiSpinetix para la gestioacuten de pantallas
AngularJS para el Manual Experiencial) Apache Couch DB como base de datos para
intercambio de informacioacuten yo servicios de mapas basados en GeoJSON Tomcat y
OpenLayers
Los moacutedulos y desarrollos sobre los que habraacute de prestarse el mantenimiento son los
siguientes
241 Portal de promocioacuten turiacutestica
El portal esMADRIDcom sirve de canal de promocioacuten turiacutestica de la ciudad de Madrid Este
portal disponible en 9 idiomas da a conocer los principales recursos turiacutesticos (en la
6
actualidad maacutes de 4000) y eventos de agenda (maacutes de 3000 eventos al antildeo) ademaacutes de
disponer de contenidos informativos y promocionales de intereacutes
El portal wwwesmadridcom estaacute desarrollado sobre la plataforma Drupal (759)
configurado en modo multidominio (el mismo gestor se utiliza para la gestioacuten de la
plataforma Explora Madrid) sobre la que se han customizado varios moacutedulos para poder
atender a las necesidades del servicio Existen varias integraciones con otras plataformas
tanto propias (plataforma de profesionales sistema de informacioacuten digital para los centros
de informacioacuten turiacutestica Manual Experiencial aplicacioacuten moacutevil Bienvenidos a Madrid) como
de terceros (plataformas de reservas de restaurantes como restalo eltenedor
saboreamadrid integracioacuten de login de usuarios con Facebook y Twitter integracioacuten con
servicio de asistencia online basado en LiveZilla)
A continuacioacuten se enumeran los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Subsistema CMS
Gestioacuten de estructura y navegacioacuten
Edicioacuten de estilos y CSS
Contenido editorial
Gestioacuten de idiomas
Destacados
Presentaciones
Artiacuteculos
Top Lista
Top Matriz
Home agenda
Homes y subhomes
Recursos Turiacutesticos
o Alojamientos
o Tiendas
o Restaurantes
o Locales Nocturnos
o Deportes
o Rutas
o Avaladores
o Proveedores
Agenda y eventos
Idiomas y traducciones
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
5
los diferentes desarrollos que se vayan ejecutando a lo lardo del contrato asiacute como
necesidades configuracioacuten ajustes parametrizacioacuten de los componentes que forman parte de
la plataforma
Es posible que parte o todo el equipo de trabajo asignado deba desplazarse a las oficinas de
Madrid Destino para realizar las tareas objeto del contrato En cualquier caso el adjudicatario
deberaacute proporcionar el equipo informaacutetico (hardware y software) necesario para el desarrollo de
la prestacioacuten del servicio
Los perfiles asignados al proyecto deberaacuten estar seguacuten las necesidades de la produccioacuten en
las oficinas de Madrid Destino El calendario presencial se definiraacute y llevaraacute a cabo durante la
ejecucioacuten del contrato y estaraacute basado en la estimacioacuten presentada por el adjudicatario y en los
miacutenimos de horas presenciales solicitadas por Madrid Destino
Madrid Destino desea contratar un servicio que deberaacute ser prestado como un global por el
adjudicatario proporcionando los medios personales y materiales propios y adecuados a los
niveles de servicio Ademaacutes la organizacioacuten del mismo la iniciativa y la direccioacuten seraacuten
responsabilidades directas del adjudicatario
22 Sobre las marcas de fabricantes yo tecnologiacuteas citadas en
este pliego
Todas las marcas de fabricantes yo las tecnologiacuteas a las que se hace referencia en este
documento se citan porque Madrid Destino en la actualidad tiene ya instaladas soluciones
basadas en las mismas Por lo tanto los licitadores deberaacuten tener en cuenta la dependencia
tecnoloacutegica de Madrid Destino con las plataformas ya implantadas y en produccioacuten
23 Centro en los que debe prestarse el servicio
En los momentos en que sea necesaria la prestacioacuten del servicio in situ Madrid Destino
notificaraacute con tiempo suficiente y de forma planificada el lugar en el que es necesaria la
prestacioacuten del servicio que seriacutea siempre dentro del Municipio de Madrid
24 Plataforma tecnoloacutegica
La plataforma a mantener estaacute basada en desarrollos a medida basados en el nuacutecleo de la
plataforma de desarrollo Drupal 7x Tambieacuten se incluyen desarrollos de multicanalidad para
aplicativos Windows 10 y otros componentes (ElementiSpinetix para la gestioacuten de pantallas
AngularJS para el Manual Experiencial) Apache Couch DB como base de datos para
intercambio de informacioacuten yo servicios de mapas basados en GeoJSON Tomcat y
OpenLayers
Los moacutedulos y desarrollos sobre los que habraacute de prestarse el mantenimiento son los
siguientes
241 Portal de promocioacuten turiacutestica
El portal esMADRIDcom sirve de canal de promocioacuten turiacutestica de la ciudad de Madrid Este
portal disponible en 9 idiomas da a conocer los principales recursos turiacutesticos (en la
6
actualidad maacutes de 4000) y eventos de agenda (maacutes de 3000 eventos al antildeo) ademaacutes de
disponer de contenidos informativos y promocionales de intereacutes
El portal wwwesmadridcom estaacute desarrollado sobre la plataforma Drupal (759)
configurado en modo multidominio (el mismo gestor se utiliza para la gestioacuten de la
plataforma Explora Madrid) sobre la que se han customizado varios moacutedulos para poder
atender a las necesidades del servicio Existen varias integraciones con otras plataformas
tanto propias (plataforma de profesionales sistema de informacioacuten digital para los centros
de informacioacuten turiacutestica Manual Experiencial aplicacioacuten moacutevil Bienvenidos a Madrid) como
de terceros (plataformas de reservas de restaurantes como restalo eltenedor
saboreamadrid integracioacuten de login de usuarios con Facebook y Twitter integracioacuten con
servicio de asistencia online basado en LiveZilla)
A continuacioacuten se enumeran los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Subsistema CMS
Gestioacuten de estructura y navegacioacuten
Edicioacuten de estilos y CSS
Contenido editorial
Gestioacuten de idiomas
Destacados
Presentaciones
Artiacuteculos
Top Lista
Top Matriz
Home agenda
Homes y subhomes
Recursos Turiacutesticos
o Alojamientos
o Tiendas
o Restaurantes
o Locales Nocturnos
o Deportes
o Rutas
o Avaladores
o Proveedores
Agenda y eventos
Idiomas y traducciones
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
6
actualidad maacutes de 4000) y eventos de agenda (maacutes de 3000 eventos al antildeo) ademaacutes de
disponer de contenidos informativos y promocionales de intereacutes
El portal wwwesmadridcom estaacute desarrollado sobre la plataforma Drupal (759)
configurado en modo multidominio (el mismo gestor se utiliza para la gestioacuten de la
plataforma Explora Madrid) sobre la que se han customizado varios moacutedulos para poder
atender a las necesidades del servicio Existen varias integraciones con otras plataformas
tanto propias (plataforma de profesionales sistema de informacioacuten digital para los centros
de informacioacuten turiacutestica Manual Experiencial aplicacioacuten moacutevil Bienvenidos a Madrid) como
de terceros (plataformas de reservas de restaurantes como restalo eltenedor
saboreamadrid integracioacuten de login de usuarios con Facebook y Twitter integracioacuten con
servicio de asistencia online basado en LiveZilla)
A continuacioacuten se enumeran los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Subsistema CMS
Gestioacuten de estructura y navegacioacuten
Edicioacuten de estilos y CSS
Contenido editorial
Gestioacuten de idiomas
Destacados
Presentaciones
Artiacuteculos
Top Lista
Top Matriz
Home agenda
Homes y subhomes
Recursos Turiacutesticos
o Alojamientos
o Tiendas
o Restaurantes
o Locales Nocturnos
o Deportes
o Rutas
o Avaladores
o Proveedores
Agenda y eventos
Idiomas y traducciones
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
7
Etiquetado de contenidos y gestioacuten de taxonomiacutea
Flujos de trabajo
Repositorio multimedia
Gestioacuten documental
Subsistema de gestioacuten de usuarios
Perfiles de navegacioacuten
Tipos de usuario
Gestioacuten de roles y permisos de administracioacuten
Subsistema de inventario turiacutestico
Explotacioacuten de los Recursos y activos Turiacutesticos
Formularios especiacuteficos
Creacioacuten y gestioacuten de cataacutelogos
Buscador general
Buscadores especiacuteficos por facetas
Geo-posicionamiento
Rutas e itinerarios
Integracioacuten con terceros (Restalo El Tenedor Saborea
Madrid)
Subsistema Social Media integracioacuten con Facebook Twitter y el Blog
Bloggin Madrid
Subsistema de estadiacutesticas gestioacuten de estadiacutesticas personalizadas
Google Analytics y gestioacuten de todos los paneles personalizados y
segmentados que se usan en la actualidad
Subsistema de gestioacuten de publicidad integracioacuten realizada con
Doubleclick DFP de Google
Subsistema de integraciones con terceros APIs y Web Services
desarrollados bajo tecnologiacuteas estaacutendar como (SOAP REST y JSON)
Subsistema de login y usuarios de la plataforma
Subsistema multimedia
Subsistema de integracioacuten de esMADRIDpro y sistema de informacioacuten
de centros de informacioacuten turiacutestica
Subsistema de integracioacuten con datos abiertos del Ayuntamiento de
Madrid
o Subsistema de generacioacuten de landing pages desarrollado dentro del entorno
Drupal se trata de un generador de landing pages para realizar contenidos
especiacuteficos que se utilizan como paacuteginas de aterrizaje para campantildeas
puntuales o relacionadas a un periacuteodo determinado
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
8
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio al portal de promocioacuten turiacutestica esmadridcom
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
242 Plataforma Profesionales
Madrid Destino dispone de un programa al que se pueden adscribir empresas del sector
turiacutestico a traveacutes del cual se le ofrecen servicios de networking y promocioacuten en los distintos
canales de Madrid Destino (portal de turismo sistema de atencioacuten al turista etc) Dentro de
esta plataforma tambieacuten se pueden dar de alta agencias en origen y medios de
comunicacioacuten para poder acceder a servicios especializados como mediateca directorios
de socios enviacuteo de comunicados y convocatorias etc
Dicha plataforma estaacute basada en Drupal (759) en modo multidominio A continuacioacuten se
enumeran por dominio los principales moacutedulos desarrollados y cuyo
mantenimientoevolutivo son objeto del contrato
o Dominio de Socios Madrid Destino (sociosesmadridprocom)
Gestioacuten de usuarios por tipologiacutea de socios y roles administradores
(gestores de socios gestores para la integracioacuten con esMADRIDcom)
Comunicaciones internas
Notificaciones
Gestioacuten de contactos
Fichas multicanal de los socios
Gestioacuten de eventos y actividades de los socios
Estadiacutesticas y cuadro de mando avanzado
Generacioacuten de ofertasproducto publicacioacuten multicanal Integracioacuten
con esMADRIDcom y sistema de informacioacuten de centros de
informacioacuten turiacutestica
Sindicacioacuten de contenidos Mantenimiento del API de sindicacioacuten
Moacutedulo de formacioacuten
Moacutedulo de clubes de producto
Gestioacuten de directorios
Gestioacuten multilocal
Gestioacuten de traducciones
Administracioacuten y configuracioacuten
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
9
Zona puacuteblica y zona privada
Conexioacuten con el Centro de Inteligencia Turiacutestica
Personalizacioacuten de contenidos
Gestioacuten multiidioma Flujos de traduccioacuten
Gestioacuten de taxonomiacuteas y etiquetados de contenidos
Gestioacuten mediateca profesional
o Moacutedulo Travel Trade (traveltradeesmadridprocom)
Fichas de operadores turiacutesticos
Integracioacuten con CRM Madrid Destino (actualmente Zoho CRM)
Estadiacutesticas y cuadro de mando
Ofertas profesionales
Captacioacuten de operadores
Actividades famtrips presstrips etc
Gestioacuten de directorios
Moacutedulo de formacioacuten a operadores
Acceso a materiales descargables gestor documental
Gestioacuten multiidioma
Gestioacuten de aprobaciones
Gestioacuten mediateca profesional
o Moacutedulo Medios de Comunicacioacuten (mediosesmadridprocom)
Gestioacuten de notas de prensa
Descarga de materiales gestor documental
Gestioacuten de usuarios
Estadiacutesticas cuadro de mando
Gestioacuten multiidioma
Administracioacuten general del sistema
Gestioacuten mediateca profesional
Esta plataforma tiene integracioacuten con
Portal de promocioacuten turiacutestica para mejorar la visibilidad de socios (elementos
destacados ofertas y campos propios gestionados por los socios pero revisados
validados y traducidos por gestores de esMADRIDcom)
Sistema de informacioacuten turiacutestica para la integracioacuten de ofertas en las pantallas de los
centros de informacioacuten turiacutestica y mejorar la identificacioacuten de los socios en los
aplicativos de los informadores
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
10
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la
plataforma tecnoloacutegica que da servicio a la plataforma para profesionales
Capa de servidores haproxy para balanceos
Capa de servidores Apache + php para servicio de aplicacioacuten
Servicios de Memcache
Capa de servidores MyQSL para servicio de base de datos
Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
243 Sistema de informacioacuten de centros de informacioacuten turiacutestica
Este sistema tiene como principal objetivo el dotar al servicio de atencioacuten turiacutestica de
herramientas tecnoloacutegicos avanzadas que mejoren dicho servicio haciendo que la experiencia
final del usuario al acudir a estos centros sea la oacuteptima
A su vez un objetivo final de esta plataforma es disponer de informacioacuten de las atenciones
realizadas de modo que dichas atenciones forman parte del Centro de Inteligencia Turiacutestica
para poder monitorizar los principales indicadores del servicio prestado asiacute como de la
informacioacuten demandada por paiacutes rangos de edad etc
Para conseguir estos objetivos se desarrollaron varios aplicativos (algunos web algunos
aplicaciones de escritorio Windows) cuyo mantenimiento y evolutivo son objeto del contrato A
continuacioacuten se hace una descripcioacuten de dichos aplicativos
244 Aplicativo para gestores
Para la oacuteptima gestioacuten de los servicios prestados por los centros de informacioacuten turiacutestica (entre
los que estaacute por ejemplo la gestioacuten de los materiales como folletos y otros materiales
promocionales) se ha desarrollado una herramienta basada en Drupal (734) de acceso
exclusivamente interno que forma parte de la plataforma final y que se integra con los
aplicativos usados por los informadores
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global es objeto del contrato son los siguientes
Moacutedulo de integracioacuten de recursos turiacutesticos y agenda con esMADRIDcom incluyendo
informacioacuten relativa a la plataforma de socios
Moacutedulo de integracioacuten con aplicativos de informadores
Moacutedulo de integracioacuten con la plataforma del Centro de Inteligencia Turiacutestica (basado en
Tableau)
Moacutedulo de integracioacuten con la plataforma de gestioacuten de contenidos distribuidos basado
en ElementiSpinetix
Sistema de notificaciones y alertas Tabloacuten de anuncios
Herramientas colaborativas y comunicacioacuten interna
Gestioacuten de rutas
Gestioacuten de listas y favoritos
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
11
Gestioacuten de incidencias
Gestioacuten de encuestas
Gestioacuten de materiales consumos y stocks para todos los centros de informacioacuten
Gestioacuten de apoyo a ferias
Gestioacuten de unidad moacutevil
Gestioacuten de descargas de materiales para traspaso de informacioacuten y generacioacuten de
mapas de atencioacuten
Gestioacuten de la publicidad en los diferentes canales y especialmente la relativa a los
mapablock y pantallas
Gestioacuten documental
Gestioacuten de usuarios
Sistema de estadiacutesticas y cuadro de mando para toda actividad de la plataforma
Sistema de supervisioacuten del servicioInspecciones
245 Aplicativo para informadores
La informacioacuten generada por otras plataformas como esmadridcom esmadridprocom y la
propia plataforma de informacioacuten turiacutestica es recogida e integrada en una aplicacioacuten de
escritorio que tienen a disposicioacuten los informadores de modo que disponen de informacioacuten de
recursos turiacutesticos eventos de agenda y socios Esta informacioacuten estaacute totalmente
geoposicionada de modo que puede prestar servicios de informacioacuten localizada y especializada
(buacutesquedas re restaurantes por tipologiacutea hoteles por categoriacutea etc) Este aplicativo se integra
con una cartografiacutea propia que forma parte de la plataforma
Para este servicio los informadores disponen de equipos Microsoft Surface con Windows 10
sobre el cual se ejecuta un aplicativo de escritorio que tiene la posibilidad de funcionar de
manera offline y online ejecutando una serie de procesos de sincronizacioacuten de manera
automaacutetica o bajo peticioacuten del informador
Este aplicativo ha sido desarrollado usando libreriacuteas WinJS e servicios CouchDB para la
integracioacuten con las bases de datos remotas A continuacioacuten se enumeran los principales
moacutedulos desarrollados y cuyo mantenimiento y evolutivo son objeto del contrato
Acceso y filtrado de recursos turiacutesticos por tipologiacutea
Acceso y filtrado de eventos de agenda
Acceso al sistema avisos y alertas
Creacioacuten de encuestas de atencioacuten calidad no presencial SATE
Creacioacuten de listas de atencioacuten
Acceso a mapas (cartografiacutea propia) y caacutelculo de rutas (servicio de terceros)
Interaccioacuten con mapas y generacioacuten de mapas personalizados de atencioacuten
Gestioacuten de material
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
12
Gestioacuten documental puacuteblica y probada
Traspaso de la informacioacuten de la atencioacuten a dispositivos moacuteviles
246 Otros componentes de la plataforma
A continuacioacuten se identifican los principales componentes de sistemas que forman parte de la plataforma tecnoloacutegica que da servicio al sistema de informacioacuten turiacutestica
o Capa de servidores haproxy para balanceos
o Capa de servidores Apache + php para servicio de aplicacioacuten
o Servicios de Memcache
o Capa de servidores MyQSL para servicio de base de datos
o Capa de servidores Solr para servicios de buacutesqueda e indexacioacuten
o Capa de servicios CouchDB para la integracioacuten con la aplicacioacuten de escritorio
o Capa de servicios ElementiSpinetix para la gestioacuten de contenidos distribuidos
(gestioacuten de pantallas)
o Capa de servicios para cartografiacutea basado en Tomcat y OpenLayers
247 Manual Experiencial
El manual experiencial (exploreesmadridcom) es una plataforma que permite a Madrid
Destino y a diferentes agencias en origen la configuracioacuten y publicacioacuten de rutas experienciales
en Madrid Para ello se ha desarrollado una capa frontal basada en AngularJS que se integra
con el gestor (mismo que el de esmadridcom)
Los principales moacutedulos desarrollados y cuyo mantenimiento y evolutivo global son objeto del contrato son los siguientes
Gestioacuten de rutas desde frontal Integracioacuten con los recursos turiacutesticos de esmadridcom
Gestioacuten de rutas desde backend
Gestioacuten y registro de usuarios
Flujos de promocioacuten de rutas a web puacuteblica
Flujos de traduccioacuten de rutas y contenidos puacuteblicos
25 Mantenimientos evolutivos
251 Evolutivos a desarrollar
A modo ilustrativo y a fin de que los licitadores puedan presentar las propuestas maacutes
adecuadas las tareas que llevaraacuten a cabo los perfiles asignados al proyecto seraacuten las
siguientes
252 esMADRIDcom
Mejoras y evolutivos sobre los siguientes aspectos
Posible creacioacuten de nuevos tipos de contenidos alineados a la nueva estrategia de comunicacioacuten
Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
13
Revisioacuten del documento de declaracioacuten de accesibilidad de la web
Integracioacuten con un CDN (por determinar)
Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
Optimizacioacuten de la versioacuten responsive
Optimizacioacuten de la versioacuten escritorio
Ajustes en los modelos de recursos turiacutesticos para permitir varias zonas turiacutesticas a un mismo recurso
Integracioacuten o modificacioacuten de los sistemas de reserva de hoteles entradas vuelos y otros servicios complementarios
Integracioacuten con otros posibles proyectos de terceros que se ejecutaraacuten en 2019
o Plataforma Planificador de viajes
o Plataforma MarketPlace
o Plataforma Conecta Madrid
o Sistema de ticketing Madrid Destino
o Plataforma de fidelizacioacuten
o Nuevo Blog
Integracioacuten con M21Radio
Creacioacuten de tipos de contenidos basados en plantillas de Marketing maacutes visuales
Gadgets para calendario de eventos
Revisioacuten asistente atencioacuten online
Otros mantenimientos y evolutivos que puedan surgir durante la ejecucioacuten del contrato
Anaacutelisis para la migracioacuten a Drupal 8
253 esMADRIDPROcom
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Integracioacuten con un CDN (por determinar)
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores sistema operativo etc) en los diferentes entornos
o Optimizacioacuten de la versioacuten responsive
o Optimizacioacuten de la versioacuten escritorio
o Anaacutelisis para la migracioacuten a Drupal 8
Mejoras y evolutivos sobre la gestioacuten de las fichas de los socios
o Integracioacuten de sistema de encuestas a socios para el departamento de Centro de Inteligencia
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
14
o Gestioacuten automaacutetica de generacioacuten de ofertas
o Ampliacioacuten de las plantillas por defecto y generacioacuten de nuevas integraciones
o Gestioacuten multilocal y eventos
o Notificaciones y comunicaciones
o Integracioacuten del flujo de traducciones con los departamentos de Contabilidad para poder realizar traducciones con coste Emisioacuten de facturas nuevo flujos de trabajo etc
o Modificaciones en estructuras de datos para identificar mejor las modificaciones de fichas por parte de socios y redisentildeo de flujos de trabajo de traduccioacuten
o Modificaciones en permisos de roles de usuarios y cambios en flujos de trabajo
o Modificaciones en tipologiacuteas de socios y servicios a los que pueden acceder
o Integracioacuten de un nuevo flujo de trabajo para solicitar inclusioacuten de material offline por parte de socios
o Perfil de socio ldquopartner tecnoloacutegicordquo
o Inclusioacuten de cataacutelogo de producto
o Gestioacuten de ofertas
o Moacutedulo de modificaciones altas y bajas
o Gestioacuten de costes
o Sistema CIT con esMADRIDpro
o Integracioacuten y visualizacioacuten de la informacioacuten proveniente de la recogida de datos realizada por los usuarios
o Sistema interactivo de anaacutelisis de datos recogidos mediante la activacioacutendesactivacioacuten de dimensiones de datos
o Cruce de dimensiones
o Exportacioacuten de resultados
o Integraciones con terceros
o Sistema de fidelizacioacuten de socios
o Integracioacuten del nuevo programa de promociones
o Sistema de cupones digitales
o Redencioacuten de los cupones
o Integracioacuten estadiacutestica
o Evolucioacuten del sistema de formacioacuten online
o Integracioacuten del sistema de Webinars
o Sistema de promocioacuten de los webinars
o Histoacuterico de cursos presentaciones y webinars
o Sistema independiente de gestioacuten de suscritos altas bajas modificaciones
o Generales del sistema
o Multimedia
o Notificaciones
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
15
o Presentaciones
o Revisioacuten de flujos de trabajo
o Unificacioacuten de literales
o Cambios de estructuras de informacioacuten
254 Sistema de informacioacuten digital para los centros de informacioacuten turiacutestica
Mejoras y evolutivos generales
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php mysql solr tomcat balanceadores couch sistema operativo etc) en los diferentes entornos
o Optimizacioacuten del uso de sistema de CouchDB
o Anaacutelisis para la migracioacuten a Drupal 8
Evolucioacuten del sistema de publicidad contextual para los mapablock
o Generacioacuten de nuevos formatos
Creacioacuten de nuevas herramientas de visualizacioacuten de contenidos en pantallas informativas
o Ampliacioacuten de las plantillas por defecto
Integracioacuten del sistema de medicioacuten de comportamiento de los usuarios en la ciudad
o Integracioacuten y anaacutelisis de los datos recogidos en la actividad de campo
o Visualizacioacuten de datos cruzados con otras fuentes disponibles
o Exportacioacuten graacutefica de resultados
Mantenimiento y evolutivos del sistema de entrega de informacioacuten digital en los centros
Mantenimiento y evolutivos del sistema de encuestas
Mantenimiento y evolutivos para la gestioacuten de stocks y apoyo a ferias
Mantenimiento y evolutivos para la gestioacuten de la unidad moacutevil
Desarrollo del sistema de gestioacuten de presencia de elementos promocionales en los centros de informacioacuten turiacutestica
Evolucioacuten del portal cautivo de acceso a la conexioacuten de Wifi gratuita
o Evolucioacuten de la arquitectura de informacioacuten
o Generacioacuten de nuevas secciones y herramientas
o Nuevo sistema de entrega de materiales
Evolucioacuten del sistema de informacioacuten cartograacutefica
o Actualizacioacuten de nombres de calles
o Mejoras en la interaccioacuten con los mapas por parte de los informadores
255 Explora Madrid
Mejoras y evolutivos generales
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
16
o Actualizacioacuten de graacutefica acorde al nuevo icono lsquoMadrid te abrazarsquoacute
o Revisioacuten del documento de declaracioacuten de accesibilidad de la web
o Actualizaciones del core de Drupal y puesta al diacutea de los diferentes moacutedulos usados en los diferentes entornos
o Actualizacioacuten de los servicios instalados (php sistema operativo etc) en los diferentes entornos
Evoluciones de los siguientes aspectos funcionales
o Mejoras en la gestioacuten de portadas
o Mejoras en el Gestor de rutas
o Mejoras en el Gestor de listados de POIs
o Mejoras en la integracioacuten de POIs externos
o Integracioacuten de eventos de esMADRIDcom
o Mejoras en la visualizacioacuten de la parte puacuteblica
o Mejoras en la usabilidad de la parte privada
o Sistema de gestioacuten de imaacutegenes
o Gestioacuten de traducciones
o Anaacutelisis SEO del aplicativo y acciones derivadas
26 Metodologiacutea de Desarrollo y de planificacioacuten y seguimiento
lo evolutivos
Los licitadores deberaacuten exponer en sus ofertas la metodologiacutea que planean utilizar en la
ejecucioacuten del contrato en el caso de resultar adjudicatarios Esta deberaacute cumplir los siguientes
aspectos
Deberaacute estar basada en estaacutendares de metodologiacuteas aacutegiles de desarrollo
Deberaacute plantear revisiones perioacutedicas de los desarrollos realizados en base a
iteraciones de los mismos y comprobaciones parciales Estas revisiones en la medida
de lo posible deberaacuten implicar demostraciones basadas en el desarrollo real de cada
funcionalidad
Las revisiones del estado de los desarrollos seraacuten fijadas por Madrid Destino y en
cualquier caso no seraacuten inferiores a 2 revisiones mensuales
Deberaacute incluir y promover la participacioacuten activa del equipo de trabajo de Madrid
Destino
Deberaacute plantear aplicar a los desarrollos aquellas variaciones que se consideren
oacuteptimas para la mejor finalizacioacuten de los trabajos
La informacioacuten generada por la metodologiacutea deberaacute ser accesible de forma electroacutenica
y en remoto por aquellas personas que se decida que deban hacerlo
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
17
Los licitadores deberaacuten presentar en sus propuestas una metodologiacutea de trabajo para la
gestioacuten de los evolutivos que incluya al menos la siguiente informacioacuten
Metodologiacutea para la planificacioacuten de las tareas a llevar a cabo
Sistema de solicitudes de trabajo
Aprobaciones o rechazo de las tareas realizadas
Seguimiento de los evolutivos
Gestioacuten de las incidencias detectadas
Ademaacutes deberaacuten presentar un roadmap tentativo para la realizacioacuten de los evolutivos
propuestos
Con caraacutecter mensual y durante toda la ejecucioacuten del contrato el adjudicatario deberaacute
presentar a Madrid Destino la planificacioacuten de tareas actualizada y los resultados esperados
para el mes en curso Todos los meses se mediraacute el resultado obtenido con respecto a los
objetivos marcados En caso de incumplimiento de objetivos por parte del adjudicatario Madrid
Destino podraacute aplicar las correspondientes penalizaciones tal y como se indica en el PCAP del
expediente
Los licitadores deberaacuten tomar como punto de partida para la estimacioacuten de esfuerzos
necesarios la descripcioacuten de las tareas expuestas en el apartado ldquo251 Evolutivos a
desarrollar rdquo
27 Propiedad de los desarrollos Entrega del coacutedigo fuente
Todos los trabajos que resulten de la ejecucioacuten del presente procedimiento pasaraacuten a ser
propiedad de Madrid Destino que los incluiraacute en los activos de la empresa con el consiguiente
valor contable sobre los desarrollos
El adjudicatario deberaacute entregar todo el coacutedigo fuente generado asiacute como los materiales
creados en el desarrollo del proyecto (en caso de generarse) como fotografiacuteas yo sus
adaptaciones viacutedeos yo sus adaptaciones elementos graacuteficos logotipos imaacutegenes
animaciones textos traducciones y cuantos otros elementos sean necesarios para la puesta
en marcha del sistema y sus respectivas webs
El coacutedigo fuente generado estaraacute comentado y documentado de forma clara y siguiendo los
estaacutendares de programacioacuten habituales en el desarrollo de este tipo de proyectos
28 Documentacioacuten de los desarrollos
El adjudicatario deberaacute documentar todos los evolutivos llevados a cabo tanto en el propio
coacutedigo generado como en aquellos casos en los que Madrid Destino asiacute lo considere
29 Recursos asignados al servicio
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
18
291 Infraestructura teacutecnica
Hardware del personal asociado al servicio el adjudicatario deberaacute proporcionar los
medios fiacutesicos necesarios para la oacuteptima ejecucioacuten del servicio tanto si se realiza in-situ
como si se presta el servicio de forma remota
Software del personal asociado al servicio del mismo modo los medios fiacutesicos
destinados por el adjudicatario a la prestacioacuten del servicio deberaacuten contar con los
elementos de software necesarios para la correcta ejecucioacuten del contrato
292 Perfiles asignados al proyecto y dimensionamiento de la bolsa de horas
El adjudicatario procuraraacute que se mantenga el mismo equipo de trabajo a lo largo de toda la ejecucioacuten del contrato Las variaciones en su composicioacuten seraacuten puntuales y obedeceraacuten a razones de causa mayor debidamente justificadas en orden a no alterar el buen funcionamiento del servicio informando en todo momento a MADRID DESTINO
El adjudicatario deberaacute prestar el servicio mediante la asignacioacuten de recursos Las caracteriacutesticas expuestas para los perfiles deberaacuten considerarse como requerimientos miacutenimosAquellas propuestas que no cumplan con estos requisitos miacutenimos no seraacuten tenidas en cuenta y seraacuten excluidas de la valoracioacuten
El nuacutemero miacutenimo de horas que se deben ofertar en la bolsa de trabajo es de cuatro mil horas anuales La distribucioacuten de las horas por los distintos perfiles seraacute el siguiente
Perfil Nuacutemero miacutenimo de horas (12
meses de servicio)
Perfil Jefe de Proyecto 200
Perfil Analista Programador Senior 2200
Perfil Analista Programador Junior 800
Perfil DisentildeadorMaquetador 400
Perfil experto en mapas y geolocalizacioacuten 200
Perfil Teacutecnico de Sistemas 200
Perfil Jefe de Proyecto encargado de coordinar los desarrollos por parte del
adjudicatario Deberaacute mantener informado al equipo que MADRID DESTINO designe
de los progresos las incidencias los riesgos y cuantos otros acontecimientos sean de
influencia en los desarrollos a realizar Deberaacute tener un miacutenimo de 7 antildeos de
experiencia en la gestioacuten de proyectos de desarrollos similares al objeto del contrato
Perfil Analista Programador Senior Especialista en desarrollos basados en DRUPAL
Los licitadores deberaacuten demostrar la experiencia en desarrollos sobre dicha plataforma
de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
19
o Experiencia de al menos 5 antildeos en plataformas DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia en desarrollos sobre AJAX Javascript y programacioacuten Web en
general (HTML XML Action View)
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
Perfil Analista Programador Junior experiencia en programacioacuten especialmente
basados en DRUPAL 70 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
Los perfiles propuestos deberaacuten cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 2 antildeos en desarrollo de entornos Web basados en
DRUPAL
o Titulado en ingenieriacutea informaacutetica telecomunicaciones o carrera teacutecnica similar
Se requiere al menos la titulacioacuten teacutecnica
o Experiencia el SEO accesibilidad y uso de CSS y maquetacioacuten
o Experiencia en estaacutendares de integracioacuten (SOAP REST JSON)
o Experiencia en uso e integracioacuten de APIs de terceros (Google maps Google
Analytics Doubleclick etc)
o Experiencia en Servidores de aplicaciones en especial Apache
o Experiencia en desarrollos sobre Solr
o Conocimientos de bases de datos y en especial de MySQL y CouchDB
o La empresa adjudicataria deberaacute asignar al servicio programadores con
conocimientos avanzados de desarrollo sobre los frameworks Angular y WinJS
El nuacutemero de horas consumidas sobre desarrollos basados en estos
frameworks se planificaraacuten en tra las partes y se contabilizaraacuten igualmente
como horas consumidas
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
20
Perfil maquetadordisentildeador experiencia en disentildeo Web y maquetacioacuten especialmente
basados en DRUPAL 7 Los licitadores deberaacuten demostrar la experiencia en
desarrollos sobre dicha plataforma de los perfiles propuestos
El perfil propuesto deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en disentildeo graacutefico maquetacioacuten o similares Se admitiraacute
cualquier titulacioacuten media o superior relacionada con disentildeo graacutefico
maquetacioacuten o Bellas Artes
o Experiencia demostrada en maquetacioacuten de front basados en DRUPAL Esta
experiencia deberaacute demostrarse detallando la misma y los proyectos en los
que haya participado la persona propuesta y que esteacuten directamente
relacionados con esta plataforma
o Experiencia en HTML CSS adaptacioacuten a muacuteltiples navegadores y versiones
disentildeos responsive y moacuteviles
o Conocimientos de Javascript
Perfil experto en mapas y geolocalizacioacuten El perfil propuesto deberaacute cumplir los
siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos de cartografiacutea y
geolocalizacioacuten
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos cartograacuteficos sobre Tomcat y Openlayers
Perfil Teacutecnico de Sistemas con perfil multidisciplinar experiencia en bases de datos y
desarrollos y programacioacuten especialista en infraestructura y mantenimientos basados
en las diferentes plataformas que se describen en el pliego (Drupal MySQL Solr
Apache CouchDB Tomcat memcache) Los licitadores deberaacuten demostrar la
experiencia sobre dicha plataforma de los perfiles propuestos El perfil propuesto
deberaacute cumplir los siguientes requisitos miacutenimos
o Experiencia de al menos 5 antildeos en desarrollo de entornos Web
o Formacioacuten Profesional en sistemas Microinformaacutetico y Redes o superior o
formacioacuten teacutecnica equivalente
o Experiencia en desarrollos e implantaciones sobre Apache php MySQL
CouchDB y Tomcat
o Experiencia en desarrollos e implantaciones sobre Solr
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
21
o Experiencia en redes electroacutenica de red protocolos y configuraciones de nivel
de red
293 CV de los recursos y requerimientos miacutenimos para la prestacioacuten del
servicio
Los licitadores deberaacuten incluir en sus ofertas los CVs del equipo de personas asignadas al
proyecto con el mayor detalle posible y haciendo hincapieacute en la demostracioacuten de la experiencia
en las tecnologiacuteas y en las certificaciones solicitadas en el presente pliego
Al tratarse de un servicio los licitadores deberaacuten aportar un CV principal por cada perfil y al
menos otro de sustitucioacuten en caso de resultar necesario
210 Garantiacutea de los trabajos
Los desarrollos tendraacuten una garantiacutea de dos antildeos de duracioacuten contra errores del sistema que
se detecten durante la explotacioacuten de la plataforma
211 Seguridad de la informacioacuten
El adjudicatario se compromete durante la duracioacuten del proyecto a
No introducir software microinformaacutetico ajeno al Madrid Destino
No divulgar las estructuras de carpetas ni los ficheros de informacioacuten asiacute como los
aplicativos realizados a medida ni la informacioacuten almacenada en ellos
No difundir ni publicar los sistemas de seguridad de la informacioacuten existentes o
previstos
No revelar la informacioacuten obtenida de los sistemas de informacioacuten de Madrid Destino
ni la documentacioacuten que se suministre o la que pudiera tener acceso con
independencia del soporte en que se encuentre
Realizar buen uso del o los correos electroacutenicos de Madrid Destino que les fuesen
encomendados
Mantener las contrasentildeas que pudieran conocer en secreto tanto las propias como las
de los sistemas
Respetar y promover las medidas de seguridad implantada o por implantar en Madrid
Destino
No conectarse a otras redes o sistemas que sean ajenos a las propias de Madrid
Destino sin el consentimiento previo y por escrito por parte de Madrid Destino
La conexiones externas que deban realizarse por necesidades del servicio se
realizaraacuten bien mediante VPN controladas por Madrid Destino bien fuera de la redes
de Madrid Destino
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
22
No se podraacuten instalar dispositivos de comunicacioacuten del tipo que sean sin el permiso
expreso y por escrito de Madrid Destino
No se podraacute extraer informacioacuten de los sistemas de Madrid Destino sin el
consentimiento expreso de eacutesta
En caso de que el adjudicatario deba instalar equipamiento propio aunque sea de
forma temporal deberaacute borrar de forma permanente aquella informacioacuten que se haya
extraiacutedo de los sistemas de Madrid Destino cuando se produzca la retirada del equipo
Los equipos que se retiren propiedad de Madrid Destino seraacuten formateados Antes de
realizar la retirada de un equipo eacutesta deberaacute ser aceptada por escrito por parte de
Madrid Destino
El adjudicatario y el personal que eacuteste asigne al proyecto se comprometeraacute a la no
divulgacioacuten del sistema de instalaciones de cualquiera de los edificios objetos del
contrato
3 Responsable del servicio sustituto
El adjudicatario estaraacute obligado a nombrar un responsable del servicio que seraacute el interlocutor
entre el responsable de los servicios de Madrid Destino y entre el personal de la empresa
adjudicataria Asimismo la empresa adjudicataria deberaacute designar un sustituto del responsable
del servicio La funcioacuten del responsable del servicio seraacute actuar como interlocutor con Madrid
Destino que garantice que la empresa adjudicataria cumple con sus obligaciones contractuales
4 Responsabilidad
El adjudicatario seraacute responsable de todos los dantildeos y perjuicios directos e indirectos que se
causen a terceros yo al personal de MADRID DESTINO incluido el lucro cesante y el dantildeo
emergente como consecuencia de su culpa o negligencia yo de las personas que por cuenta
de la misma intervengan en la ejecucioacuten material de la presente contratacioacuten
Asimismo el adjudicatario se compromete a satisfacer el importe de todos los desperfectos
ocasionados por su culpa o negligencia imputable a la misma yo al personal por cuenta de la
misma yo bajo su responsabilidad a los espacios o lugares donde el servicio sea prestado
5 Obligaciones laborales y sociales
El adjudicatario estaacute obligado al cumplimiento de la normativa vigente en materia laboral de
seguridad social de integracioacuten social de discapacitados y de prevencioacuten de riesgos laborales
conforme a lo dispuesto en la Ley 311995 de 8 de noviembre sobre Prevencioacuten de Riesgos
Laborales y en el Reglamento de los Servicios de Prevencioacuten aprobado por Real Decreto
391997 de 17 de enero asiacute como de las que se promulguen durante la ejecucioacuten del contrato
La relacioacuten del organismo u organismos donde los licitadores podraacuten obtener informacioacuten sobre
la fiscalidad y sobre las disposiciones vigentes en materia de proteccioacuten del empleo
condiciones de trabajo y prevencioacuten de riesgos laborales aplicables a los servicios prestados
durante la ejecucioacuten del contrato seraacuten los sentildealados en el Anexo III del PCAP
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
23
No existiraacute vinculacioacuten laboral alguna entre el personal que se destine a la ejecucioacuten del
contrato y MADRID DESTINO por cuanto aqueacutel queda expresamente sometido al poder
direccional y de organizacioacuten de la empresa adjudicataria en todo aacutembito y orden legalmente
establecido y siendo por tanto eacutesta la uacutenica responsable y obligada al cumplimiento de
cuantas disposiciones legales resulten aplicables al caso en especial en materia de
contratacioacuten Seguridad Social prevencioacuten de riesgos laborales y tributaria por cuanto dicho
personal en ninguacuten caso tendraacute vinculacioacuten juriacutedico-laboral con MADRID DESTINO y ello con
independencia de las facultades de Control e Inspeccioacuten que legal yo contractualmente
correspondan al mismo
A la extincioacuten de los contratos de servicios no podraacute producirse en ninguacuten caso la
consolidacioacuten de las personas que hayan realizado los trabajos objeto del contrato como
personal de MADRID DESTINO
6 Claacuteusulas sociales de obligado cumplimiento
De conformidad con lo establecido en el Decreto de 19 de enero de 2016 del Delegado del
Gobierno de Economiacutea y Hacienda por el que se aprueba la Instruccioacuten 12016 relativa a la
incorporacioacuten de claacuteusulas sociales en los contratos celebrados por el Ayuntamiento de Madrid
sus organismos autoacutenomos y entidades del sector puacuteblico municipal seraacuten de obligado
cumplimiento por el adjudicatario las claacuteusulas sociales establecidas en el presente pliego que
se relacionan a continuacioacuten sin perjuicio de lo establecido en el pliego de claacuteusulas
administrativas particulares
El adjudicatario estaraacute obligado a que los bienes o servicios objeto del contrato hayan sido
producidos o se desarrollen respetando las normas sociolaborales vigentes en Espantildea y en la
Unioacuten Europea o de la Organizacioacuten Internacional del Trabajo
En el cumplimiento del presente contrato se tendraacute en cuenta lo establecido en la Convencioacuten
de Naciones Unidas sobre los derechos de las personas con diversidad funcional asiacute como los
criterios de accesibilidad universal y de disentildeo universal o disentildeo para todas las personas tal
como son definidos estos teacuterminos en el Texto Refundido de la Ley General de derechos de las
personas con diversidad funcional y de su inclusioacuten social aprobado por Real Decreto
Legislativo 12013 de 29 de noviembre (TRLGDPD)
En toda documentacioacuten publicidad imagen o materiales especiales que en su caso deban
aportar los licitadores o que sean necesarios para la ejecucioacuten del contrato deberaacute hacerse un
uso no sexista del lenguaje evitar cualquier imagen discriminatoria de las mujeres o
estereotipos sexistas y fomentar con valores de igualdad la presencia equilibrada la diversidad
y la corresponsabilidad
La empresa adjudicataria deberaacute aportar las medidas oportunas para evitar que de la ejecucioacuten
del contrato puedan derivarse dantildeos al personal de MADRID DESTINO a los empleados
municipales y a los ciudadanos en general
En el desarrollo las paacuteginas web disentildeados en la ejecucioacuten del presente contrato o dirigidas a
las personas usuarias o beneficiarias del mismo seraacuten de preceptivo cumplimiento el
Reglamento sobre las condiciones baacutesicas para el acceso de las personas con discapacidad a
las tecnologiacuteas productos y servicios relacionados con la sociedad de la informacioacuten y medios
de comunicacioacuten social aprobado por Real Decreto 14942007 de 12 de noviembre asiacute como
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
24
los protocolos internacionales de accesibilidad (W3C y las Web Content Accesibility Guidelines
10 y Norma UNE 139803 2004) que establecen como grado de accesibilidad miacutenimo
obligatorio el nivel AA aplicable a las paacuteginas de Internet de las Administraciones Puacuteblicas
(artiacuteculos 18 19 y 20 de la Ley 562007 de 28 de Diciembre de medidas de impulso de la
Sociedad de la Informacioacuten artiacuteculo 14 de la Ley 272007 de 23 de Octubre de
Reconocimiento de la Lengua de Signos la Ley 112007 de 22 de Junio de Acceso
Electroacutenico de los Ciudadanos a los Servicios Puacuteblicos y artiacuteculos 3 6 y 12 del Real Decreto
14942007 de 12 de noviembre)
Para la acreditacioacuten del cumplimiento de esta obligacioacuten los licitadores estaacuten obligados a
presentar una declaracioacuten responsable relativa al cumplimiento de estas obligaciones en
materia de accesibilidad Esta declaracioacuten responsable deberaacute incluirse en el sobre relativo a la
documentacioacuten teacutecnica especificaacutendose esta obligacioacuten de los licitadores tanto en el pliego de
prescripciones teacutecnicas como en el apartado correspondiente a la presentacioacuten de la
documentacioacuten teacutecnica del Anexo I del PCAP
En materia de seguridad y salud laboral
El adjudicatario tiene la obligacioacuten de adoptar las medidas de seguridad y salud en el trabajo
que sean obligatorias para prevenir de manera rigurosa los riesgos que puedan afectar a la
vida la integridad y salud de las personas trabajadoras
Asimismo deberaacute acreditar el cumplimiento de las siguientes obligaciones
- La evaluacioacuten de los riesgos y planificacioacuten de la actividad preventiva correspondiente
a la actividad contratada
- La formacioacuten e informacioacuten en materia preventiva a las personas adscritas a la
ejecucioacuten del contrato
- El justificante de la entrega de equipos de proteccioacuten individual que en su caso sean
necesarios
De conformidad con lo anterior el adjudicatario estaacute obligado a respetar y cumplir la normativa
vigente en materia laboral de seguridad social de integracioacuten social de minusvaacutelidos y de
prevencioacuten de riesgos laborales conforme a lo dispuesto en la Ley 311995 de 8 de
noviembre sobre Prevencioacuten de Riesgos Laborales y en el Reglamento de los Servicios de
Prevencioacuten aprobado por el Real Decreto 391997 de 17 de enero Igualmente es de
aplicacioacuten el Real Decreto 7731997 de 30 de mayo sobre disposiciones miacutenimas de seguridad
y salud relativas a la utilizacioacuten por los trabajadores de equipos de proteccioacuten individual asiacute
como el Real Decreto 1712004 de 30 de enero de coordinacioacuten de actividades empresariales
y toda aquella normativa que sea de aplicacioacuten yo se promulgue durante la vigencia del
presente procedimiento de contratacioacuten
En materia de empleo
Afiliacioacuten y alta en la Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten
del contrato asiacute como de todas las sucesivas incorporaciones que puedan producirse
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
25
El adjudicatario se compromete a tener asegurados a todos sus trabajadores que realicen el
servicio cubriendo incluso la responsabilidad civil que cualquier accidente pudiera ocasionar
asiacute como dotar a las personas que ejecuten el servicio de todos los medios materiales referidos
a Seguridad y Salud Laboral que ordena la legislacioacuten vigente
El adjudicatario deberaacute acreditar mediante declaracioacuten responsable la afiliacioacuten y el alta en la
Seguridad Social de las personas trabajadoras destinadas a la ejecucioacuten del contrato Esta
obligacioacuten se extenderaacute a todo el personal subcontratado por la entidad adjudicataria principal
destinado a la ejecucioacuten del contrato
Para el cumplimiento de esta obligacioacuten la entidad adjudicataria aportaraacute una declaracioacuten
responsable al efecto al inicio del contrato en la que se sentildeale que las personas trabajadoras
destinadas a la ejecucioacuten del mismo se encuentran afiliadas y dadas de alta en la Seguridad
Social
En todo caso el responsable del contrato yo en su caso el oacutergano de contratacioacuten podraacute
solicitar cuando lo considere oportuno la aportacioacuten de la documentacioacuten que acredite el
contenido de la declaracioacuten responsable
CONTROL DE LA EJECUCIOacuteN DE LAS CLAacuteUSULAS SOCIALES
El responsable del contrato de Madrid Destino supervisaraacute el cumplimiento de las obligaciones
que en relacioacuten a las claacuteusulas sociales que sean impuestas al adjudicatario en el presente
pliego y en el de claacuteusulas administrativas particulares asiacute como las que se deriven de la
legislacioacuten social y laboral vigente
Con caraacutecter previo a la finalizacioacuten del contrato el adjudicatario deberaacute presentar un informe
relativo al cumplimiento de las obligaciones sociales que le fueran exigibles legal o
contractualmente
El incumplimiento de las mismas generaraacute la imposicioacuten de penalidades de conformidad con lo
establecido en el apartado 28 del Anexo I del pliego de claacuteusulas administrativas particulares
7 DATOS DE CARAacuteCTER PERSONAL
Normativa
De conformidad con la Disposicioacuten adicional 25ordf de la Ley 92017 de 8 de noviembre de
Contratos del Sector Puacuteblico por la que se transponen al ordenamiento juriacutedico espantildeol las
Directivas del Parlamento Europeo y del Consejo 201423UE y 201424UE de 26 de febrero
de 2014 los contratos que impliquen el tratamiento de datos de caraacutecter personal deberaacuten
respetar en su integridad el Reglamento (UE) 2016679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la proteccioacuten de las personas fiacutesicas en lo que respecta al
tratamiento de datos personales (RGPD) y la normativa complementaria
Para el caso de que la contratacioacuten implique el acceso del contratista a datos de caraacutecter
personal de cuyo tratamiento sea responsable la entidad contratante aqueacutel tendraacute la
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
26
consideracioacuten de encargado del tratamiento En este supuesto el acceso a esos datos no se
consideraraacute comunicacioacuten de datos cuando se cumpla lo previsto en el artiacuteculo 28 del RGPD
En todo caso las previsiones de este deberaacuten de constar por escrito
Tratamiento de Datos Personales
Para el cumplimiento del objeto de este pliego el adjudicatario deberaacute tratar los datos
personales de los cuales MADRID DESTINO es Responsable del Tratamiento (Responsable
del Tratamiento) de la manera que se especifica en el Anexo a este pliego denominado
ldquoTratamiento de Datos Personalesrdquo
Ello conlleva que el adjudicatario actuacutee en calidad de Encargado del Tratamiento (Encargado
del Tratamiento) y por tanto tiene el deber de cumplir con la normativa vigente en cada
momento tratando y protegiendo debidamente los Datos Personales
Por tanto sobre MADRID DESTINO recaen las responsabilidades del Responsable del
Tratamiento y sobre el adjudicatario las de Encargado de Tratamiento
Si el adjudicatario destinase los datos a otra finalidad los comunicara o los utilizara
incumpliendo las estipulaciones del contrato yo la normativa vigente seraacute considerado tambieacuten
como Responsable del Tratamiento respondiendo de las infracciones en que hubiera incurrido
personalmente asiacute como del incumplimiento contrato
El Anexo ldquoTratamiento de Datos Personalesrdquo describe
a) los Datos Personales a proteger
b) el tratamiento a realizar
c) los sistemasdispositivos de tratamiento manuales y automatizados cuya
ubicacioacuten y equipamiento podraacute estar bajo el control de MADRID DESTINO o
bajo el control directo o indirecto del adjudicatario u otros que hayan sido
expresamente autorizados por escrito por MADRID DESTINO seguacuten se
especifique en el Anexo
d) los usuarios o perfiles de usuarios asignados a la ejecucioacuten del objeto de este
Pliego
e) el destino de los datos objeto de tratamiento y
f) las medidas a implementar por el adjudicatario
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten
momento la modificacioacuten de lo estipulado en el Anexo ldquoTratamiento de Datos Personalesrdquo el
adjudicatario lo requeriraacute razonadamente y sentildealaraacute los cambios que solicita En caso de que
MADRID DESTINO estuviese de acuerdo con lo solicitado emitiriacutea un Anexo ldquoTratamiento de
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
27
Datos Personalesrdquo actualizado de modo que el mismo siempre recoja fielmente el detalle del
tratamiento
Estipulaciones como Encargado de Tratamiento
De conformidad con lo previsto en el artiacuteculo 28 del RGPD el adjudicatario se obliga a y
garantiza el cumplimiento de las siguientes obligaciones complementadas con lo detallado en
el Anexo ldquoTratamiento de Datos Personales
a) Tratamiento conforme a instrucciones de MADRID DESTINO
Tratar los Datos Personales conforme a las instrucciones documentadas en el
presente Pliego o demaacutes documentos contractuales aplicables a la ejecucioacuten del
contrato y aquellas que en su caso reciba de MADRID DESTINO por escrito en
cada momento
El adjudicatario informaraacute inmediatamente a MADRID DESTINO cuando en su
opinioacuten una instruccioacuten sea contraria a la normativa de proteccioacuten de Datos
Personales aplicable en cada momento
b) Finalidad de tratamiento
No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecucioacuten
del objeto del Contrato En ninguacuten caso podraacute utilizar los datos para fines
propios
c) Medidas de seguridad
Tratar los Datos Personales de conformidad con los criterios de seguridad y el
contenido previsto en el artiacuteculo 32 del RGPD asiacute como observar y adoptar las
medidas teacutecnicas y organizativas de seguridad necesarias o convenientes para
asegurar la confidencialidad secreto e integridad de los Datos Personales a los
que tenga acceso
En todo caso deberaacute implantar mecanismos para
a) Garantizar la confidencialidad integridad disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento
b) Restaurar la disponibilidad y el acceso a los datos personales de forma
raacutepida en caso de incidente fiacutesico o teacutecnico
c) Verificar evaluar y valorar de forma regular la eficacia de las medidas
teacutecnicas y organizativas implantadas para garantizar la seguridad del
tratamiento
d) Seudonimizar y cifrar los datos personales en su caso
En particular y sin caraacutecter limitativo se obliga a aplicar las medidas de
proteccioacuten del nivel de riesgo y seguridad detalladas en el Anexo ldquoTratamiento de
Datos Personalesrdquo
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
28
d) Deber de confidencialidad y secreto
Mantener la maacutes absoluta confidencialidad y secreto sobre los Datos Personales
a los que tenga acceso para la ejecucioacuten del contrato asiacute como sobre los que
resulten de su tratamiento cualquiera que sea el soporte en el que se hubieren
obtenido La presente obligacioacuten debe observarse incluso despueacutes de que
finalice la prestacioacuten del servicio
Esta obligacioacuten se extiende a toda persona que pudiera intervenir en cualquier
fase del tratamiento por cuenta del adjudicatario siendo deber del adjudicatario
instruir a las personas que de eacutel dependan de este deber de secreto y del
mantenimiento de dicho deber auacuten despueacutes de la terminacioacuten de la prestacioacuten
del Servicio o de su desvinculacioacuten
e) Relacioacuten de personas autorizadas
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto
de este pliego y garantizar que las mismas se comprometen de forma expresa y
por escrito a respetar la confidencialidad y a cumplir con las medidas de
seguridad correspondientes de las que les debe informar convenientemente
Y mantener a disposicioacuten de MADRID DESTINO dicha documentacioacuten
acreditativa
f) Formacioacuten
Garantizar la formacioacuten necesaria en materia de proteccioacuten de Datos Personales
de las personas autorizadas a su tratamiento
g) Comunicacioacuten de datos a terceros
Salvo que cuente en cada caso con la autorizacioacuten expresa del Responsable del
Tratamiento no comunicar (ceder) ni difundir los Datos Personales a terceros ni
siquiera para su conservacioacuten
El encargado puede comunicar los datos a otros encargados del tratamiento del
mismo responsable de acuerdo con las instrucciones del responsable En este
caso el responsable identificaraacute de forma previa y por escrito la entidad a la
que se deben comunicar los datos los datos a comunicar y las medidas de
seguridad a aplicar para proceder a la comunicacioacuten
h) Delegado de Proteccioacuten de Datos
Nombrar Delegado de Proteccioacuten de Datos en caso de que sea necesario seguacuten
el RGPD y comunicarlo a MADRID DESTINO tambieacuten cuando la designacioacuten
sea voluntaria asiacute como la identidad y datos de contacto de la(s) persona(s)
fiacutesica(s) designada(s) por el adjudicatario como sus representante(s) a efectos
de proteccioacuten de los Datos Personales (representantes del Encargado de
Tratamiento) responsable(s) del cumplimiento de la regulacioacuten del tratamiento
de Datos Personales en las vertientes legalesformales y en las de seguridad
i) Destino de los datos
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
29
Una vez finalizada la prestacioacuten contractual objeto del presente Pliego se
compromete seguacuten corresponda y se instruya en el Anexo ldquoTratamiento de
Datos Personalesrdquo a devolver o destruir (i) los Datos Personales a los que haya
tenido acceso (ii) los Datos Personales generados por el adjudicatario por causa
del tratamiento y (iii) los soportes y documentos en que cualquiera de estos
datos consten sin conservar copia alguna salvo que se permita o requiera por
ley o por norma de derecho comunitario su conservacioacuten en cuyo caso no
procederaacute la destruccioacuten El Encargado del Tratamiento podraacute no obstante
conservar los datos durante el tiempo que puedan derivarse responsabilidades
de su relacioacuten con el Responsable del Tratamiento En este uacuteltimo caso los
Datos Personales se conservaraacuten bloqueados y por el tiempo miacutenimo
destruyeacutendose de forma segura y definitiva al final de dicho plazo
j) Transferencias internacionales
Salvo que se indique otra cosa en el Anexo ldquoTratamiento de Datos Personalesrdquo o
se indique asiacute expresamente por MADRID DESTINO a tratar los Datos
Personales dentro del Espacio Econoacutemico Europeo u otro espacio considerado
por la normativa aplicable como de seguridad equivalente no trataacutendolos fuera
de este espacio ni directamente ni a traveacutes de cualesquiera subcontratistas
autorizados conforme a lo establecido en este Pliego o demaacutes documentos
contractuales salvo que esteacute obligado a ello en virtud del Derecho de la Unioacuten o
del Estado miembro que le resulte de aplicacioacuten
En el caso de que por causa de Derecho nacional o de la Unioacuten Europea el
adjudicatario se vea obligado a llevar a cabo alguna transferencia internacional
de datos el adjudicatario informaraacute por escrito a MADRID DESITNO de esa
exigencia legal con antelacioacuten suficiente a efectuar el tratamiento y garantizaraacute
el cumplimiento de cualesquiera requisitos legales que sean aplicables a
MADRID DESTINO salvo que el Derecho aplicable lo prohiacuteba por razones
importantes de intereacutes puacuteblico
k) Notificacioacuten de violaciones de la seguridad de los datos
El encargado del tratamiento notificaraacute al responsable del tratamiento sin
dilacioacuten indebida y en cualquier caso antes del plazo maacuteximo de 48 horas y a
traveacutes de ComiteLOPDmadrid-destinocom las violaciones de la seguridad de
los datos personales a su cargo de las que tenga conocimiento juntamente con
toda la informacioacuten relevante para la documentacioacuten y comunicacioacuten de la
incidencia
No seraacute necesaria la notificacioacuten cuando sea improbable que dicha violacioacuten de
la seguridad constituya un riesgo para los derechos y las libertades de las
personas fiacutesicas
Si se dispone de ella se facilitaraacute como miacutenimo la informacioacuten siguiente
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
30
a) Descripcioacuten de la naturaleza de la violacioacuten de la seguridad de los datos
personales inclusive cuando sea posible las categoriacuteas y el nuacutemero
aproximado de interesados afectados y las categoriacuteas y el nuacutemero
aproximado de registros de datos personales afectados
b) El nombre y los datos de contacto del delegado de proteccioacuten de datos o
de otro punto de contacto en el que pueda obtenerse maacutes informacioacuten
c) Descripcioacuten de las posibles consecuencias de la violacioacuten de la
seguridad de los datos personales
d) Descripcioacuten de las medidas adoptadas o propuestas para poner remedio
a la violacioacuten de la seguridad de los datos personales incluyendo si
procede las medidas adoptadas para mitigar los posibles efectos
negativos
e) Si no es posible facilitar la informacioacuten simultaacuteneamente y en la medida
en que no lo sea la informacioacuten se facilitaraacute de manera gradual sin
dilacioacuten indebida
l) Asistir al responsable de tratamiento en la respuesta al ejercicio de
derechos
Cuando una persona ejerza un derecho (de acceso rectificacioacuten supresioacuten y
oposicioacuten limitacioacuten del tratamiento portabilidad de datos y a no ser objeto de
decisiones individualizadas automatizadas u otros reconocidos por la normativa
aplicable (conjuntamente los ldquoDerechosrdquo) ante el Encargado del Tratamiento
eacuteste debe comunicarlo a MADRID DESTINO con la mayor prontitud a la
direccioacuten de correo electroacutenico ComiteLOPDmadrid-destinocom
La comunicacioacuten debe hacerse de forma inmediata y en ninguacuten caso maacutes allaacute del
diacutea laborable siguiente al de la recepcioacuten del ejercicio de derecho juntamente
en su caso con la documentacioacuten y otras informaciones que puedan ser
relevantes para resolver la solicitud que obre en su poder e incluyendo la
identificacioacuten fehaciente de quien ejerce el derecho
El adjudicatario asistiraacute a MADRID DESTINO siempre que sea posible para que
eacutesta pueda cumplir y dar respuesta a los ejercicios de Derechos
m) Colaborar con MADRID DESTINO en el cumplimiento de sus
obligaciones como Responsable del Tratamiento
Colaborar con MADRID DESTINO en el cumplimiento de sus obligaciones en
materia de(i) medidas de seguridad (ii) comunicacioacuten yo notificacioacuten de brechas
(logradas e intentadas) de medidas de seguridad a las autoridades competentes
o los interesados y (iii) colaborar en la realizacioacuten de evaluaciones de impacto
relativas a la proteccioacuten de datos personales y consultas previas al respecto a las
autoridades competentes teniendo en cuenta la naturaleza del tratamiento y la
informacioacuten de la que disponga
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
31
Asimismo pondraacute a disposicioacuten de MADRID DESTINO a requerimiento de esta
toda la informacioacuten necesaria para demostrar el cumplimiento de las obligaciones
previstas en este Pliego y demaacutes documentos contractuales y colaboraraacute en
auditoras o en inspecciones llevadas a cabo en su caso por la AEPD
En los casos en que la normativa asiacute lo exija (ver art 305 RGPD) llevar por
escrito incluso en formato electroacutenico y de conformidad con lo previsto en el
artiacuteculo 302 del RGPD un registro de todas las categoriacuteas de actividades de
tratamiento efectuadas por cuenta de la AEPD (Responsable del tratamiento)
que contenga al menos las circunstancias a que se refiere dicho artiacuteculo
n) Evidencias de cumplimiento normativa de proteccioacuten de datos
Disponer de evidencias que demuestren su cumplimiento de la normativa de
proteccioacuten de Datos Personales y del deber de responsabilidad activa como a
tiacutetulo de ejemplo certificados previos sobre el grado de cumplimiento o
resultados de auditoriacuteas que habraacute de poner a disposicioacuten de MADRID
DESTINO a requerimiento de esta Asimismo durante la vigencia del contrato
pondraacute a disposicioacuten de MADRID DESTINO toda informacioacuten certificaciones y
auditoriacuteas realizadas en cada momento
o) Derecho de informacioacuten
Corresponde al Responsable facilitar el derecho de informacioacuten en el momento
de la recogida de datos En el caso en el que el encargado del tratamiento en la
prestacioacuten del servicio efectuacutee la recogida de datos de caraacutecter personal debe
facilitar la informacioacuten relativa a los tratamientos de datos que se van a realizar
La redaccioacuten y el formato en que se facilitaraacute la informacioacuten se debe consensuar
con el responsable antes del inicio de la recogida de los datos
La presente claacuteusula y las obligaciones en ella establecidas asiacute como el Anexo
correspondiente de este pliego relativo al Tratamiento de Datos Personales constituyen el
contrato de encargo de tratamiento entre MADRID DESTINO y el adjudicatario a que hace
referencia el artiacuteculo 283 RGPD
Las obligaciones y prestaciones que aquiacute se contienen no son retribuibles de forma distinta de
lo previsto en el presente pliego y demaacutes documentos contractuales y tendraacuten la misma
duracioacuten que la prestacioacuten de Servicio objeto de este pliego y su contrato prorrogaacutendose en su
caso por periacuteodos iguales a eacuteste
No obstante a la finalizacioacuten del contrato el deber de secreto continuaraacute vigente sin liacutemite de
tiempo para todas las personas involucradas en la ejecucioacuten del contrato
Para el cumplimiento del objeto de este pliego no se requiere que el adjudicatario acceda a
ninguacuten otro Dato Personal responsabilidad de MADRID DESTINO y por tanto no estaacute
autorizado en caso alguno al acceso o tratamiento de otro dato que no sean los especificados
en el Anexo ldquoTratamiento de Datos Personalesrdquo
Si se produjera una incidencia durante la ejecucioacuten del contrato que conllevara un acceso
accidental o incidental a Datos Personales responsabilidad de MADRID DSTINO no
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
32
contemplados en el Anexo ldquoTratamiento de Datos Personales el adjudicatario deberaacute ponerlo
en conocimiento de MADRID DSTINO en concreto de su Delegado de Proteccioacuten de Datos a
traveacutes del buzoacuten ComiteLOPDmadrid-destinocom con la mayor diligencia y a maacutes tardar en
el plazo de 48 horas
Sub-encargos de tratamiento asociados a Subcontrataciones
Cuando el pliego permita la subcontratacioacuten de actividades objeto del pliego y en caso de que
el adjudicatario pretenda subcontratar con terceros la ejecucioacuten del contrato y el subcontratista
si fuera contratado deba acceder a Datos Personales el adjudicatario lo pondraacute en
conocimiento previo de MADRID DESTINO identificando queacute tratamiento de datos personales
conlleva para que MADRID DESTINO decida en su caso si otorgar o no su autorizacioacuten a
dicha subcontratacioacuten
En todo caso para autorizar la contratacioacuten es requisito imprescindible que se cumplan las
siguientes condiciones (si bien aun cumplieacutendose las mismas corresponde a MADRID
DESTINO la decisioacuten de si otorgar o no dicho consentimiento)
- Que el tratamiento de datos personales por parte del subcontratista se ajuste a la
legalidad vigente lo contemplado en este pliego y a las instrucciones de MADRID
DESTINO
- Que el adjudicatario y la empresa subcontratista formalicen un contrato de encargo de
tratamiento de datos en teacuterminos no menos restrictivos a los previstos en el presente
pliego el cual seraacute puesto a disposicioacuten de MADRID DESTINO a su mera solicitud
para verificar su existencia y contenido
- El adjudicatario informaraacute a MADRID DESTINO de cualquier cambio previsto en la
incorporacioacuten o sustitucioacuten de otros subcontratistas dando asiacute a la AEPD la
oportunidad de otorgar el consentimiento previsto en esta claacuteusula La no respuesta de
MADRID DESTINO a dicha solicitud por el contratista equivale a oponerse a dichos
cambios
Informacioacuten
Las Partes uacutenicamente se comunicaraacuten aquellos datos de caraacutecter personal que sean
adecuados pertinentes y no excesivos en relacioacuten con las necesidades derivadas del presente
Contrato garantizando que dichos datos sean exactos y puestos al diacutea obligaacutendose a
comunicar a la otra sin dilacioacuten indebida aquellos que hayan sido rectificados yo deban ser
cancelados seguacuten proceda
MADRID DESTINO garantiza a los representantes e interlocutores del adjudicatario el
tratamiento de sus datos de caraacutecter personal conforme a la legislacioacuten vigente y a tal efecto
informa que seraacuten incorporados en un fichero titularidad de MADRID DESTINO en los
siguientes teacuterminos
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
33
Responsable MADRID DESTINO CULTURA TURISMO Y NEGOCIO SA con domicilio en
Madrid calle Conde Duque 9-11 28015 Madrid
Delegado de Proteccioacuten de datos ComiteLOPDmadrid-destinocom
Finalidades Gestionar y cumplir la relacioacuten establecida (incluyendo la gestioacuten del expediente
juriacutedico de contratacioacuten la formalizacioacuten y archivo de los contratos y escrituras la gestioacuten de la
contabilidad el cumplimiento de obligaciones impositivas de facturacioacuten de transparencia y de
control)
Plazo de conservacioacuten Se limitaraacute al periodo que sea necesario para dar cumplimiento a la
relacioacuten contractual y durante los plazos de prescripcioacuten de las acciones civiles penales
administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio
prestado y del tratamiento de los datos ademaacutes de los periodos establecidos en la normativa
de archivos y patrimonio documental espantildeol
Destinatarios Agencia Tributaria Tribunal de Cuentas Plataforma de Contratacioacuten del Estado
y demaacutes administraciones puacuteblicas para el cumplimiento de obligaciones de transparencia y
control fiscales asiacute como a entidades financieras para la gestioacuten de cobros y pagos y
autoridades judiciales Las obligaciones de transparencia conllevan la publicacioacuten en la
correspondiente sede electroacutenica la relacioacuten de los contratos suscritos por MADRID DESTINO
con mencioacuten de las partes firmantes su objeto plazo de duracioacuten modificaciones realizadas
obligados a la realizacioacuten de las prestaciones y en su caso las obligaciones econoacutemicas
convenidas
Legitimacioacuten Ejecucioacuten de un contrato
Derechos El ejercicio de derechos de acceso rectificacioacuten supresioacuten portabilidad y limitacioacuten u
oposicioacuten asiacute como a no ser objeto de decisiones basadas uacutenicamente en el tratamiento
automatizado de sus datos cuando procedan de puede solicitarse mediante e-mail dirigido a
ComiteLOPDmadrid-destinocom con referencia a ldquoAacuterea Legalrdquo e identificacioacuten de la persona
solicitante mediante documento oficial
8 Solicitud de informacioacuten
Para solicitar informacioacuten maacutes detallada sobre este servicio o ampliar informacioacuten sobre plazo
del procedimiento de contratacioacuten las empresas participantes podraacuten hacerlo a partir del
publicacioacuten de la licitacioacuten en la plataforma httpscontratacionmadrid-destinocom
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
34
Madrid Destino se reserva el derecho de solicitar la ampliacioacuten de la informacioacuten presentada
por cada una de las empresas en sus ofertas
La mera presentacioacuten de propuestas implica la aceptacioacuten sin reservas de las condiciones
establecidas en el presente documento para la ejecucioacuten de los trabajos objeto del Contrato
Por Madrid Destino SA Por el ADJUDICATARIO
D D
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
35
ANEXO ldquoTRATAMIENTO DE DATOS PERSONALESrdquo Descripcioacuten general del tratamiento de Datos Personales a efectuar
El tratamiento consistiraacute en los SERVICIOS DE DESARROLLO EVOLUTIVO DE LOS
PORTALES esMADRIDcom esMADRIDpro SISTEMA DE INFORMACIOacuteN DIGITAL PARA
LOS CENTROS DE INFORMACIOacuteN TURIacuteSTICA Y EL SISTEMA EXPLORA MADRID
El alcance del servicio es el descrito en el Pliego de Prescripciones Teacutecnicas siendo las webs
principales afectada por el servicio las siguientes
httpswwwesmadridcom Nombre y Apellidos Direccioacuten y coacutedigo postal Teleacutefono
Redes sociales y e-mail
httpssociosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpstraveltradeesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo
postal Teleacutefono Redes sociales y e-mail
httpsmediosesmadridprocom Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
httpexploreesmadridcomes Nombre y Apellidos CIF Direccioacuten y coacutedigo postal
Teleacutefono Redes sociales y e-mail
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderaacute
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
36 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Recogida (captura de datos)
Registro (grabacioacuten)
Estructuracioacuten
Modificacioacuten
Conservacioacuten (almacenamiento)
Extraccioacuten (retrieval)
Consulta
Cotejo
Limitacioacuten
Supresioacuten
Destruccioacuten (de copias temporales)
Conservacioacuten (en sus sistemas de informacioacuten)
Duplicado Copia (copias temporales)
Copia de seguridad
Recuperacioacuten
El personal adscrito por la organizacioacuten adjudicataria para proporcionar los Servicios establecidos en
el Pliego puede tratar Datos Personales Los Datos Personales se trataraacuten uacutenicamente por el personal
adscrito y al uacutenico fin de efectuar el alcance contratado
En caso de que como consecuencia de la ejecucioacuten del contrato resultara necesario en alguacuten momento
la modificacioacuten de lo estipulado en este Anexo el adjudicatario lo requeriraacute razonadamente y sentildealaraacute
los cambios que solicita En caso de que MADRID DESTINIO estuviese de acuerdo con lo solicitado
MADRID DESTINO emitiriacutea un Anexo actualizado de modo que el mismo siempre recoja fielmente el
detalle del tratamiento
Disposicioacuten de los datos al terminar el Servicio
Una vez finalice el encargo el adjudicatario debe
a) Devolver al responsable del tratamiento los datos de caraacutecter personal y si procede los soportes
donde consten una vez cumplida la prestacioacuten La devolucioacuten debe comportar el borrado total de los
datos existentes en los equipos informaacuteticos utilizados por el encargado No obstante el encargado
puede conservar una copia con los datos debidamente bloqueados mientras puedan derivarse
responsabilidades de la ejecucioacuten de la prestacioacuten
No obstante el Responsable del Tratamiento podraacute requerir al encargado para que en vez de la opcioacuten
a) cumpla con la b) o con la c) siguientes
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de caraacutecter
personal y si procede los soportes donde consten una vez cumplida prestacioacuten La devolucioacuten debe
comportar el borrado total de los datos existentes en los equipos informaacuteticos utilizados por el
encargado No obstante el encargado puede conservar una copia con los datos debidamente
bloqueados mientras puedan derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
37 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
c) Destruir los datos una vez cumplida la prestacioacuten Una vez destruidos el encargado debe certificar
su destruccioacuten por escrito y debe entregar el certificado al responsable del tratamiento No obstante el
encargado puede conservar una copia con los datos debidamente boqueados mientras puedan
derivarse responsabilidades de la ejecucioacuten de la prestacioacuten
Medidas de seguridad
Los datos deben protegerse empleando las medidas que un empresario ordenado debe tomar para
evitar que dichos datos pierdan su razonable confidencialidad integridad y disponibilidad
MADRID DESTINO como empresa integrante del sector puacuteblico institucional dependiente del
Ayuntamiento de Madrid estaacute sujeta al Esquema Nacional de Seguridad (ENS) sieacutendole de aplicacioacuten
el Real Decreto 32010 de 8 de enero por el que se regula el ENS en el aacutembito de la Administracioacuten
Electroacutenica
En la medida en la que los sistemas de informacioacuten de MADRID DESTINO objeto de tratamiento esteacuten
sujetos al Esquema Nacional de Seguridad las medidas de seguridad a adoptar por la empresa
adjudicataria son las recogidas en el Anexo II de Medidas de Seguridad del Real Decreto 32010
En el caso en el que los datos a tratar sean de nivel medio o de nivel alto las medidas de seguridad de
nivel medio o alto definidas en el artiacuteculo 82 del Real Decreto 17202007 de 21 de diciembre de
desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos (RLOPD) y demaacutes normativa aplicable vigente
en cada momento
El adjudicatario no podraacute no implementar o suprimir dichas medidas mediante el empleo de un anaacutelisis
de riesgo o evaluacioacuten de impacto salvo aprobacioacuten expresa de MADRID DESTINO
A estos efectos el personal del adjudicatario debe seguir las medidas de seguridad establecidas por
MADRID DESTINO no pudiendo efectuar tratamientos distintos de los definidos por MADRID
DESTINO
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
38 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
ANEXO MEDIDAS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
Dando cumplimiento la Ley Orgaacutenica 32018 de 5 de diciembre de Proteccioacuten de Datos Personales y
garantiacutea de los derechos digitales es objeto del presente Anexo la determinacioacuten por parte de
MADRID DESTINO como ldquoResponsable de Ficherosrdquo de las medidas de seguridad que el
adjudicatario como ldquoEncargado del Tratamientordquo deberaacute adoptar en la captacioacuten el acceso y el
tratamiento de los datos de caraacutecter personal a los que acceda por cuenta de MADRID DESTINO para
la prestacioacuten de los servicios contratados
DOCUMENTO DE SEGURIDAD
El adjudicatario dispone de un Documento de Seguridad que recoge las medidas de iacutendole teacutecnica y
organizativa acordes a la normativa de seguridad vigente que seraacute de obligado cumplimiento para el
personal con acceso a los sistemas de informacioacuten
El Documento de Seguridad podraacute ser uacutenico y comprensivo de todos los ficheros o tratamientos o bien
individualizado para cada fichero o tratamiento o bien podraacute consistir en distintos documentos de
seguridad agrupando ficheros o tratamientos seguacuten el sistema de tratamiento utilizado para su
organizacioacuten o bien atendiendo a criterios organizativos del responsable En todo caso tendraacute el
caraacutecter de documento interno de la organizacioacuten
El Documento deberaacute contener como miacutenimo los siguientes aspectos
a Aacutembito de aplicacioacuten del documento con especificacioacuten detallada de los recursos protegidos
b Medidas normas procedimientos de actuacioacuten reglas y estaacutendares encaminados a garantizar el nivel de seguridad exigido en este reglamento
c Funciones y obligaciones del personal en relacioacuten con el tratamiento de los datos de caraacutecter personal incluidos en los ficheros
d Estructura de los ficheros con datos de caraacutecter personal y descripcioacuten de los sistemas de informacioacuten que los tratan
e Procedimiento de notificacioacuten gestioacuten y respuesta ante las incidencias
f Los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos en los ficheros o tratamientos automatizados
g Las medidas que sea necesario adoptar para el transporte de soportes y documentos asiacute como para la destruccioacuten de los documentos y soportes o en su caso la reutilizacioacuten de estos uacuteltimos
En caso de que fueran de aplicacioacuten a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto el Documento de seguridad deberaacute contener ademaacutes
a La identificacioacuten del responsable o responsables de seguridad
b Los controles perioacutedicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
39 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
Funciones y obligaciones del personal
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de caraacutecter personal y a los sistemas de informacioacuten estaraacuten claramente definidas y documentadas en el documento de seguridad
o Tambieacuten se definiraacuten las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento
o El adjudicatario como encargado del tratamiento adoptaraacute las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones asiacute como las consecuencias en que pudiera incurrir en caso de incumplimiento
Registro de incidencias
o El adjudicatario como encargado del tratamiento deberaacute disponer de un procedimiento de notificacioacuten y gestioacuten de las incidencias que afecten a los datos de caraacutecter personal y establecer un registro en el que se haga constar el tipo de incidencia el momento en que se ha producido o en su caso detectado la persona que realiza la notificacioacuten a quieacuten se le comunica los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas
Control de acceso
o Los usuarios tendraacuten acceso uacutenicamente a aquellos recursos que precisen para el desarrollo de sus funciones
o El adjudicatario se encargaraacute de que exista una relacioacuten actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos
o El adjudicatario estableceraacute mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados
o Exclusivamente el personal autorizado para ello en el documento de seguridad podraacute conceder alterar o anular el acceso autorizado sobre los recursos conforme a los criterios establecidos por el adjudicatario
o En caso de que exista personal ajeno al adjudicatario que tenga acceso a los recursos deberaacute estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio
Gestioacuten de soportes y documentos
o Los soportes y documentos que contengan datos de caraacutecter personal deberaacuten permitir identificar el tipo de informacioacuten que contienen ser inventariados y solo deberaacuten ser accesibles por el personal autorizado para ello en el documento de seguridad
o Se exceptuacutean estas obligaciones cuando las caracteriacutesticas fiacutesicas del soporte imposibiliten su cumplimiento quedando constancia motivada de ello en el documento de seguridad
o La salida de soportes y documentos que contengan datos de caraacutecter personal incluidos los comprendidos yo anejos a un correo electroacutenico fuera de los locales bajo el control del adjudicatario deberaacute ser autorizada por el adjudicatario o encontrarse debidamente autorizada en el documento de seguridad
o En el traslado de la documentacioacuten se adoptaraacuten las medidas dirigidas a evitar la sustraccioacuten peacuterdida o acceso indebido a la informacioacuten durante su transporte
o Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de caraacutecter personal deberaacute procederse a su destruccioacuten o borrado mediante la adopcioacuten de medidas dirigidas a evitar el acceso a la informacioacuten contenida en el mismo o su recuperacioacuten posterior
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
40 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o La identificacioacuten de los soportes que contengan datos de caraacutecter personal que la organizacioacuten considerase especialmente sensibles se podraacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
Identificacioacuten y autenticacioacuten
o El responsable del fichero o tratamiento deberaacute adoptar las medidas que garanticen la correcta identificacioacuten y autenticacioacuten de los usuarios
o El responsable del fichero o tratamiento estableceraacute un mecanismo que permita la identificacioacuten de forma inequiacutevoca y personalizada de todo aquel usuario que intente acceder al sistema de informacioacuten y la verificacioacuten de que estaacute autorizado
o Cuando el mecanismo de autenticacioacuten se base en la existencia de contrasentildeas existiraacute un procedimiento de asignacioacuten distribucioacuten y almacenamiento que garantice su confidencialidad e integridad
o El Documento de Seguridad debe establecer la periodicidad que en ninguacuten caso seraacute superior a un antildeo con la que tienen que ser cambiadas las contrasentildeas que mientras esteacuten vigentes se almacenaraacuten de forma ininteligible
Copias de respaldo y recuperacioacuten
o Deberaacuten establecerse procedimientos de actuacioacuten para la realizacioacuten como miacutenimo semanal de copias de respaldo salvo que en dicho periacuteodo no se hubiera producido ninguna actualizacioacuten de los datos
o Asimismo se estableceraacuten procedimientos para la recuperacioacuten de los datos que garanticen en todo momento su reconstruccioacuten en el estado en que se encontraban al tiempo de producirse la peacuterdida o destruccioacuten
o Uacutenicamente en el caso de que la peacuterdida o destruccioacuten afectase a ficheros o tratamientos parcialmente automatizados y siempre que la existencia de documentacioacuten permita alcanzar el objetivo al que se refiere el paacuterrafo anterior se deberaacute proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad
o El adjudicatario se encargaraacute de verificar cada seis meses la correcta definicioacuten funcionamiento y aplicacioacuten de los procedimientos de realizacioacuten de copias de respaldo y de recuperacioacuten de los datos
o Las pruebas anteriores a la implantacioacuten o modificacioacuten de los sistemas de informacioacuten que traten ficheros con datos de caraacutecter personal no se realizaraacuten con datos reales salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realizacioacuten en el documento de seguridad
o Si estaacute previsto realizar pruebas con datos reales previamente deberaacute haberse realizado una copia de seguridad
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o En el documento de seguridad deberaacuten designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo Esta designacioacuten puede ser uacutenica para todos los ficheros o tratamientos de datos de caraacutecter personal o diferenciada seguacuten los sistemas de tratamiento utilizados circunstancia que deberaacute hacerse constar claramente en el documento de seguridad
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
41 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o En ninguacuten caso esta designacioacuten supone una exoneracioacuten de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento
Auditoriacutea
o A partir del nivel medio los sistemas de informacioacuten e instalaciones de tratamiento y almacenamiento de datos se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
o Con caraacutecter extraordinario deberaacute realizarse dicha auditoriacutea siempre que se realicen modificaciones sustanciales en el sistema de informacioacuten que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacioacuten adecuacioacuten y eficacia de las mismas Esta auditoriacutea inicia el coacutemputo de dos antildeos sentildealado en el paacuterrafo anterior
o El informe de auditoriacutea deberaacute dictaminar sobre la adecuacioacuten de las medidas y controles a la Ley y su desarrollo reglamentario identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deberaacute igualmente incluir los datos hechos y observaciones en que se basen los dictaacutemenes alcanzados y las recomendaciones propuestas
o Los informes de auditoriacutea seraacuten analizados por el responsable de seguridad competente que elevaraacute las conclusiones al adjudicatario para que adopte las medidas correctoras adecuadas y quedaraacuten a disposicioacuten de la Agencia Espantildeola de Proteccioacuten de Datos o en su caso de las autoridades de control de las comunidades autoacutenomas
Gestioacuten de soportes y documentos
o Deberaacute establecerse un sistema de registro de entrada de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el emisor el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la recepcioacuten que deberaacute estar debidamente autorizada
o Igualmente se dispondraacute de un sistema de registro de salida de soportes que permita directa o indirectamente conocer el tipo de documento o soporte la fecha y hora el destinatario el nuacutemero de documentos o soportes incluidos en el enviacuteo el tipo de informacioacuten que contienen la forma de enviacuteo y la persona responsable de la entrega que deberaacute estar debidamente autorizada
Identificacioacuten y autenticacioacuten
o El adjudicatario estableceraacute un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacioacuten
Control de acceso fiacutesico
o Exclusivamente el personal autorizado en el documento de seguridad podraacute tener acceso a los lugares donde se hallen instalados los equipos fiacutesicos que den soporte a los sistemas de informacioacuten
Registro de incidencias
o En el registro regulado en el PUNTO 2 de las Medidas de Seguridad de nivel Baacutesico deberaacuten consignarse ademaacutes los procedimientos realizados de recuperacioacuten de los datos indicando la persona que ejecutoacute el proceso los datos restaurados y en su caso queacute datos ha sido necesario grabar manualmente en el proceso de recuperacioacuten
o Seraacute necesaria la autorizacioacuten del adjudicatario para la ejecucioacuten de los procedimientos de recuperacioacuten de los datos
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
42 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Gestioacuten y distribucioacuten de soportes
o La identificacioacuten de los soportes se deberaacute realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido y que dificulten la identificacioacuten para el resto de personas
o La distribucioacuten de los soportes que contengan datos de caraacutecter personal se realizaraacute cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informacioacuten no sea accesible o manipulada durante su transporte
o Asimismo se cifraraacuten los datos que contengan los dispositivos portaacutetiles cuando eacutestos se encuentren fuera de las instalaciones que estaacuten bajo el control del responsable del fichero
o Deberaacute evitarse el tratamiento de datos de caraacutecter personal en dispositivos portaacutetiles que no permitan su cifrado En caso de que sea estrictamente necesario se haraacute constar motivadamente en el documento de seguridad y se adoptaraacuten medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos
Copias de respaldo y recuperacioacuten
o Deberaacute conservarse una copia de respaldo de los datos y de los procedimientos de recuperacioacuten de los mismos en un lugar diferente de aquel en que se encuentren los equipos informaacuteticos que los tratan que deberaacute cumplir en todo caso las medidas de seguridad exigidas en este tiacutetulo o utilizando elementos que garanticen la integridad y recuperacioacuten de la informacioacuten de forma que sea posible su recuperacioacuten
Registro de accesos
o De cada intento de acceso se guardaraacuten como miacutenimo la identificacioacuten del usuario la fecha y hora en que se realizoacute el fichero accedido el tipo de acceso y si ha sido autorizado o denegado
o En el caso de que el acceso haya sido autorizado seraacute preciso guardar la informacioacuten que permita identificar el registro accedido
o Los mecanismos que permiten el registro de accesos estaraacuten bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivacioacuten ni la manipulacioacuten de los mismos
o El periacuteodo miacutenimo de conservacioacuten de los datos registrados seraacute de dos antildeos
o El responsable de seguridad se encargaraacute de revisar al menos una vez al mes la informacioacuten de control registrada y elaboraraacute un informe de las revisiones realizadas y los problemas detectados
o No seraacute necesario el registro de accesos definido en este artiacuteculo en caso de que concurran las siguientes circunstancias
o Que el responsable del fichero o del tratamiento sea una persona fiacutesica
o Que el responsable del fichero o del tratamiento garantice que uacutenicamente eacutel tiene acceso y trata los datos personales
o La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberaacute hacerse constar expresamente en el Documento de Seguridad
Telecomunicaciones
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
43 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
o Cuando conforme al artiacuteculo 813 Reglamento de desarrollo de la LOPD deban implantarse las medidas de seguridad de nivel alto la transmisioacuten de datos de caraacutecter personal a traveacutes de redes puacuteblicas o redes inalaacutembricas de comunicaciones electroacutenicas se realizaraacute cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacioacuten no sea inteligible ni manipulada por terceros
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
MEDIDAS DE SEGURIDAD DE NIVEL BAacuteSICO
Criterios de archivo
o El archivo de los soportes o documentos se realizaraacute de acuerdo con los criterios previstos en su respectiva legislacioacuten Estos criterios deberaacuten garantizar la correcta conservacioacuten de los documentos la localizacioacuten y consulta de la informacioacuten y posibilitar el ejercicio de los derechos de oposicioacuten al tratamiento acceso rectificacioacuten y cancelacioacuten
o En aquellos casos en los que no exista norma aplicable el adjudicatario deberaacute establecer los criterios y procedimientos de actuacioacuten que deban seguirse para el archivo
Dispositivos de almacenamiento
o Los dispositivos de almacenamiento de los documentos que contengan datos de caraacutecter personal deberaacuten disponer de mecanismos que obstaculicen su apertura Cuando las caracteriacutesticas fiacutesicas de aqueacutellos no permitan adoptar esta medida el responsable del fichero o tratamiento adoptaraacute medidas que impidan el acceso de personas no autorizadas
Custodia de los soportes
o Mientras la documentacioacuten con datos de caraacutecter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artiacuteculo anterior por estar en proceso de revisioacuten o tramitacioacuten ya sea previo o posterior a su archivo la persona que se encuentre al cargo de la misma deberaacute custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada
MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
Ademaacutes de las medidas de seguridad de nivel baacutesico indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Responsable de seguridad
o Se designaraacute uno o varios responsables de seguridad en los teacuterminos y con las funciones previstas en el PUNTO 6 del apartado correspondiente a las MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Auditoriacutea
o Los ficheros comprendidos en el nivel de seguridad medio se someteraacuten al menos cada dos antildeos a una auditoriacutea interna o externa que verifique el cumplimiento del Tiacutetulo VIII del Reglamento de desarrollo de la LOPD
MEDIDAS DE SEGURIDAD DE NIVEL ALTO
Ademaacutes de las medidas de seguridad de nivel baacutesico y medio indicadas anteriormente deberaacuten implantarse las siguientes medidas de seguridad
Almacenamiento de la informacioacuten
o Los armarios archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de caraacutecter personal deberaacuten encontrarse en aacutereas en las que el acceso esteacute protegido con puertas de acceso dotadas de sistemas de apertura
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario
44 Desarrollo evolutivo de los portales eEsMADRIDcom esMADRIDpro del sistema de informacioacuten digital y del Manual Experiencial para los Centros de Informacioacuten Turiacutestica de Madrid Destino CULTURA TURISMO Y NEGOCIO SA
mediante llave u otro dispositivo equivalente Dichas aacutereas deberaacuten permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero
o Si atendidas las caracteriacutesticas de los locales de que dispusiera el adjudicatario no fuera posible cumplir lo establecido en el apartado anterior el responsable adoptaraacute medidas alternativas que debidamente motivadas se incluiraacuten en el documento de seguridad
Copia o reproduccioacuten
o La generacioacuten de copias o la reproduccioacuten de los documentos uacutenicamente podraacute ser realizada bajo el control del personal autorizado en el Documento de Seguridad
o Deberaacute procederse a la destruccioacuten de las copias o reproducciones desechadas de forma que se evite el acceso a la informacioacuten contenida en las mismas o su recuperacioacuten posterior
Acceso a la documentacioacuten
o El acceso a la documentacioacuten se limitaraacute exclusivamente al personal autorizado
o Se estableceraacuten mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por muacuteltiples usuarios
o El acceso de personas no incluidas en el paacuterrafo anterior deberaacute quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad
Traslado de documentacioacuten
o Siempre que se proceda al traslado fiacutesico de la documentacioacuten contenida en un fichero deberaacuten adoptarse medidas dirigidas a impedir el acceso o manipulacioacuten de la informacioacuten objeto de traslado
VERIFICACIOacuteN DEL CUMPLIMIENTO POR EL RESPONSABLE
MADRID DESTINO se reserva la facultad de auditar sin previo aviso los sistemas e instalaciones del adjudicatario a los uacutenicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente Anexo
El adjudicatario acepta dicha facultad de MADRID DESTINO y pondraacute a su disposicioacuten la ayuda y colaboracioacuten necesaria para llevar a cabo dicha comprobacioacuten la cual nunca podraacute obstaculizar de forma sustancial la actividad del adjudicatario