Resolución de 31 de enero de 2024, de la Secretaría General, por la que se da publicidad al Convenio interadministrativo entre la Consejería de Agricultura, Ganadería y Desarrollo Sostenible y la Universidad de Extremadura para la investigación de detección de árboles y arbustos mediante el análisis de imágenes aéreas usando técnicas de aprendizaje máquina y para el desarrollo de una aplicación móvil de gestión de expedientes.
TEXTO ORIGINAL
Habiéndose firmado el día 23 de enero de 2024, el Convenio interadministrativo entre la Consejería de Agricultura, Ganadería y Desarrollo Sostenible y la Universidad de Extremadura para la investigación de detección de árboles y arbustos mediante el análisis de imágenes aéreas usando técnicas de aprendizaje máquina y para el desarrollo de una aplicación móvil de gestión de expedientes, de conformidad con lo previsto en el artículo 8 del Decreto 217/2013, de 19 de noviembre, por el que se regula el Registro General de Convenios de la Administración de la Comunidad Autónoma de Extremadura,
RESUELVO:
La publicación en el Diario Oficial de Extremadura del Convenio que figura como anexo de la presente resolución.
Mérida, 31 de enero de 2024.
El Secretario General,
DAVID GONZÁLEZ GIL
CONVENIO INTERADMINISTRATIVO ENTRE LA CONSEJERÍA DE AGRICULTURA, GANADERÍA Y DESARROLLO SOSTENIBLE Y LA UNIVERSIDAD DE EXTREMADURA PARA LA INVESTIGACIÓN DE DETECCIÓN DE ÁRBOLES Y ARBUSTOS MEDIANTE EL ANÁLISIS DE IMÁGENES AÉREAS USANDO TÉCNICAS DE APRENDIZAJE MÁQUINA Y PARA EL DESARROLLO DE UNA APLICACIÓN MÓVIL DE GESTIÓN DE EXPEDIENTES
Mérida, 23 de enero de 2024.
REUNIDOS
De una parte, María Concepción Montero Gómez, Secretaria General de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible, nombrada por Decreto 91/2023, de 28 de julio, (DOE núm. 146, de 31 de julio de 2023) de la Junta de Extremadura, que interviene en nombre y representación de la Consejería, en virtud de la delegación de firma otorgada por Resolución de 2 de agosto de 2023, de la Consejera, por la que se delegan determinadas competencias, así como la firma de resoluciones y actos, en la Secretaría General y demás órganos administrativos de la Consejería (DOE n.º 152, de 8 de agosto de 2023, autorizada por Consejo de Gobierno de la Junta de Extremadura, de fecha 29 de diciembre de 2023.
De otra parte, Pedro Fernández Salguero, Rector Magnífico de la Universidad de Extremadura, en representación de la misma, nombrado por Decreto 166/2022, de 30 de diciembre (DOE n.º 9, de 13/01/2023), que interviene en nombre y representación de la Universidad de Extremadura en virtud de lo dispuesto en el artículo 91 de los Estatutos de la Universidad de Extremadura, aprobados por Decreto 65/2003, de 8 de mayo, modificado por Decreto 190/2010, de 1 de octubre; mediante acuerdo del Consejo de Gobierno de la Universidad de Extremadura, de fecha 30 de noviembre de 2023, a tenor del articulo 87.2 apartado j), de los citados estatutos.
Ambas partes se reconocen la capacidad jurídica suficiente para suscribir este Convenio, y a tal efecto,
EXPONEN
Primero. El Reglamento (UE) n.º 2021/2115 del Parlamento Europeo y del Consejo, de 2 de diciembre de 2021, por el que se establecen normas en relación con la ayuda a los planes estratégicos que deben elaborar los Estados miembros en el marco de la política agrícola común (planes estratégicos de la PAC), financiada con cargo al Fondo Europeo Agrícola de Garantía (FEAGA) y al Fondo Europeo Agrícola de Desarrollo Rural (FEADER), y por el que se derogan los Reglamentos (UE) n.º 1305/2013 y (UE) n.º 1307/2013, supone un cambio sustancial en la PAC, que pasa a ser una política orientada a la consecución de resultados concretos, vinculados a los tres objetivos generales del artículo 5 del Reglamento, esto es, fomentar un sector agrícola inteligente, competitivo, resiliente y diversificado que garantice la seguridad alimentaria a largo plazo; apoyar y reforzar la protección del medio ambiente, incluida la biodiversidad, y la acción por el clima y contribuir a alcanzar los objetivos medioambientales y climáticos de la Unión, entre ellos los compromisos contraídos en virtud del Acuerdo de París y fortalecer el tejido socioeconómico de las zonas rurales. Esta nueva orientación se articula sobre una mayor subsidiariedad a los Estados miembros, que deberán ser quienes, sobre la base de la situación y necesidades específicas, deberán diseñar sus propias intervenciones. Con este nuevo enfoque, España, tras un análisis riguroso de la situación de partida, que ha permitido identificar y priorizar las necesidades vinculadas a cada uno de estos objetivos, ha propuesto un Plan Estratégico Nacional de la Política Agrícola Común (PAC) del Reino de España 2023-2027, que tiene como objetivo el desarrollo sostenible de la agricultura, la alimentación y las zonas rurales para garantizar la seguridad alimentaria de la sociedad a través de un sector competitivo y un medio rural vivo.
Tal y como establece el Reglamento (UE) 2021/2116 del Parlamento Europeo y del Consejo, de 2 de diciembre de 2021, sobre la financiación, la gestión y el seguimiento de la política agrícola común y por el que se deroga el Reglamento (UE) n.º 1306/2013, los Estados miembros deben establecer y poner en marcha un sistema integrado de gestión y control para determinadas intervenciones previstas en el Reglamento (UE) 2021/2115 y para las medidas contempladas en el capítulo IV del Reglamento (UE) n.º 228/2013 del Parlamento Europeo y del Consejo en el capítulo IV del Reglamento (UE) n.º 229/2013 del Parlamento Europeo y del Consejo.
Dentro de este marco normativo, el Real Decreto 1047/2022, de 27 de diciembre, tiene por objeto establecer la normativa en materia de gestión y control de las intervenciones y otras ayudas en el marco de la PAC.
De acuerdo con el Reglamento (UE) 2021/2116 del Parlamento Europeo y del Consejo, de 2 de diciembre de 2021, este real decreto establece la procedencia de mantener los principales elementos ya existentes del sistema integrado, y en particular las disposiciones relativas a un sistema de identificación de parcelas agrícolas, un sistema de solicitudes geoespaciales y un sistema de solicitudes basado en los animales, un sistema de identificación y registro de derechos de pago, un sistema de registro de la identidad de los beneficiarios y un sistema de control y sanción. Así como la necesidad de que las autoridades competentes sigan utilizando los datos o productos de información proporcionados por el programa Copernicus, además de tecnologías de la información tales como los sistemas Galileo y EGNOS (European Geostationary Navigation Overlay Service), a fin de garantizar que se disponga de datos exhaustivos y comparables para efectuar el seguimiento de la política agroambiental y climática, que incluya las repercusiones de la PAC, el rendimiento medioambiental y el progreso hacia los objetivos de la Unión Europea, e impulsar la utilización de datos e información completos, gratuitos y abiertos recopilados por los satélites Sentinel y los servicios de Copernicus. A tal fin, el sistema integrado debe incluir también un Sistema de monitorización de superficies.
Así mismo, se mantiene la necesidad de establecer procedimientos simplificados en el contexto de las comunicaciones entre el beneficiario y las autoridades nacionales, tal y como introdujo el Reglamento de Ejecución (UE) n.º 809/2014 de la Comisión, de 17 de julio de 2014, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.º 1306/2013 del Parlamento Europeo y del Consejo en lo que se refiere al sistema integrado de gestión y control.
Dicho marco contempla, en particular, la posibilidad de utilizar medios electrónicos siendo necesario que se garantice que los datos transmitidos de ese modo son totalmente fiables y que los procedimientos pertinentes se aplican sin discriminación alguna entre los beneficiarios.
A fin de simplificar las labores de gestión tanto a los beneficiarios como a las autoridades nacionales, conviene prever la posibilidad de que las autoridades competentes utilicen directamente la información a disposición de las autoridades nacionales en lugar de tener que pedir a los beneficiarios que proporcionen tal información para comprobar la admisibilidad de determinados pagos.
Con las capacidades de los actuales sistemas de información geográfica, las imágenes, datos de LIDAR, imágenes de vuelos aéreos, ortofotos y otros sistemas combinados, y la identificación de parcelas que se encuentran en las bases de datos de la Junta de Extremadura, se pueden realizar análisis precisos para detectar los elementos de una superficie arbolada para la identificación del tipo de terreno, cultivo y la densidad de elementos en la parcela, a efecto de desarrollar parcialmente el marco general previsto por el citado Reglamento en lo que se refiere al sistema de gestión, estableciendo procedimientos simplificados en el contexto de las comunicaciones entre el beneficiario y las autoridades autonómicas.
La realización de estos análisis puede y debe ser optimizada mediante el empleo de la inteligencia artificial, y en concreto, mediante la aplicación de redes neuronales artificiales, en la identificación de patrones de objetos.
El uso de las redes neuronales en la identificación de objetos es un problema complejo, pero que puede ser exitoso si se limita el número de clases que se deben identificar, se disponen de ejemplos suficientes para realizar el aprendizaje y si se acotan previamente las características de aprendizaje.
En este caso, el problema es viable porque los objetos de árboles están bien catalogados y se dispone de información y ubicación de ejemplos de años anteriores en las bases de datos de la Junta de Extremadura. Aunque estas técnicas de uso de redes neuronales en clasificación ya se aplican, pero en la detección cultivos usando imágenes de satélite con la evolución en el tiempo en el sistema software (InteliPAC), se puede desarrollar nuevos sistemas software, en este caso orientado a las imágenes aéreas y en la detección de árboles y arbustos. Se podría integrar en el visualizador de InteliPAC para agrupar y facilitar el análisis que deben realizar los diferentes Servicios de la Consejería.
Segundo. La Universidad de Extremadura es un organismo público de carácter multisectorial y pluridisciplinario que desarrolla actividades de docencia, investigación y desarrollo científico y tecnológico, contemplando entre sus fines el desarrollo social, económico y cultural, de acuerdo con lo dispuesto en la Ley Orgánica 2/2023, de 22 de marzo, del Sistema Universitario, para lo cual resulta necesaria la colaboración con otras instituciones.
Los Estatutos de la Universidad de Extremadura establecen entre sus fines el apoyo científico y técnico al desarrollo social, económico y cultural, y el mejor conocimiento en todos sus aspectos de la Comunidad Autónoma de Extremadura; así como el establecimiento de relaciones y convenios de colaboración con todo tipo de entidades públicas y privadas.
Los investigadores que participen en el proyecto se beneficiarán por la adquisición de conocimientos en los procesos de análisis y aplicación de nuevas técnicas de identificación de patrones en imágenes satelitales, de la aplicación avanzada de uso de redes neuronales convolucionales en la detección de objetos, y del estudio de nuevas metodologías para el desarrollo de aplicaciones móviles con fotografías georeferenciadas. Los técnicos que se contraten para el desarrollo del proyecto, que implementarán los módulos de identificación de patrones y nuevas aplicaciones móviles de tratamiento fotográfico, obtendrán conocimiento y experiencia en áreas de punteras y estratégicas de investigación en Inteligencia Artificial.
Tercero. La Consejería de Agricultura, Ganadería y Desarrollo Sostenible, de conformidad con lo dispuesto en el Decreto 233/2023, de 12 de septiembre, por el que se establece su estructura orgánica y se modifica el Decreto 77/2023, de 21 de julio, por el que se establece la estructura orgánica básica de la Administración de la Comunidad Autónoma de Extremadura (DOE extraordinario 3, de 16 de septiembre de 2023), ejerce a través de la Dirección General de Política Agraria Comunitaria las competencias relativas a la gestión del Sistema de Información Geográfica de las ayudas de la PAC.
En este marco, ambas partes consideran necesario, por su relevancia y especificidades, colaborar, mediante un convenio sujeto al régimen jurídico establecido en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en la investigación de detección de árboles y arbustos mediante el análisis de imágenes aéreas usando técnicas de aprendizaje máquina, y para el desarrollo de una aplicación móvil de gestión de expedientes, acordando sus suscripción, con sujeción a las siguientes,
CLÁUSULAS
Primera. Objeto del convenio.
Es objeto de este convenio establecer un marco de colaboración entre la Consejería de Agricultura, Ganadería y Desarrollo Sostenible, a través de la Dirección General de Política Agraria Comunitaria, y la Universidad de Extremadura, a través del Departamento de Ingeniería de Sistemas Informáticos y Telemáticos, para la implantación y desarrollo de un sistema basado en inteligencia artificial, para la identificación, catalogación y análisis de densidad de árboles y arbustos de recintos en la Comunidad Autónoma de Extremadura que coadyuve al establecimiento de procedimientos simplificados en el contexto de las comunicaciones entre el beneficiario y las autoridades autonómicas dentro del marco de mejora del uso y calidad de las tecnologías de la información y de la comunicación y acceso a las mismas, reforzando las aplicaciones TIC para la Administración electrónica e incidiendo en el e-gobierno, e-cultura y la confianza en el ámbito digital. Aunque los procesos de análisis se centraran en los objetos tipo árbol y arbusto, la Comisión de Seguimiento puede indicar otro tipo de objetos identificados de forma aérea por ser de interés estratégico.
Por otro lado, también se investigarán en nuevas técnicas que sirvan de apoyo al SIGPAC para el análisis automático de descripciones cartográficas anómalas, incoherentes y que deban ser detectadas de forma automática porque no cumplan las normas procedimentales de solapamiento o tiempos en la tramitación de expedientes. Además, se aplicarán nuevas metodologías para la generación de módulos de gestión para la incorporación de informes e imágenes que pueden ser de interés para diferentes Servicios de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible.
Aunque ya existen aplicaciones móviles para justificar cultivos mediante fotografías, es de interés abrir una nueva línea de investigación para el desarrollo de aplicaciones móviles avanzadas que incorporen elementos georeferenciados y técnicas de inteligencia artificial de análisis de imágenes. Se buscará el desarrollo de novedosos algoritmos que determine la ubicación GPS de los puntos de toma de fotografías dependiendo de la geometría de la parcela. Dependiendo del tamaño del recinto, el algoritmo determinará el número mínimo de fotografías que deben realizarse. Se podrá estudiar los procesos matemáticos para optimizar la orientación hacia el punto cardinal donde debe tomar la foto, y la inclinación del teléfono móvil. Con ello, se obtendrá una recogida de datos completa y homogénea para validar un expediente.
Segunda. Compromisos de las partes.
1. Para ejecutar el objeto del convenio la Universidad de Extremadura se compromete a:
1.1. La investigación de nuevas metodologías para el desarrollo de sistemas software con inteligencia artificial para la creación de patrones de identificación de árboles y arbustos, y generación automática de informes de diferentes recintos que se indiquen por la Comisión de Seguimiento. Se buscará que los sistemas que se puedan desarrollar con esta metodología estén basados en técnicas de redes neuronales para el reconocimiento de objetos a partir de imágenes aéreas, y tendrá las siguientes funcionalidades:
— Uno de los campos de experimentación y desarrollo serán los procesos de creación de patrones de objetos de árboles y arbustos genéricos. Es decir, ser capaz de identificar y contar el número de árboles de cualquier tipo ubicado en un recinto. Se usarán técnicas de redes neuronales para el aprendizaje de reconocimiento de objetos tipo árbol provenientes de ejemplos de objetos tipo árbol de fotografías aéreas. Se generarán patrones a partir de los datos RGB de las imágenes aéreas, y también otros patrones a partir de los datos infrarrojos. Esto permitirá mayor precisión en la detección a partir de los dos análisis de patrones.
— Relacionado con la misma tecnología anterior, se experimentará y analizarán patrones específicos de tipos de árboles y tamaños concretos. Estos patrones servirán para diferentes usos que determine la Comisión de Seguimiento. Por ejemplo, contar un tipo de árbol específico en un recinto, identificar la antigüedad de los árboles, o la evolución de crecimiento.
— Se investigarán los métodos de desarrollo de módulos que, tras proporcionar un polígono correspondiente a una declaración gráfica, sea capaz de georeferenciarla en una fotografía, y hacer el recorte adecuado para poder analizarla.
— Se aplicarán los algoritmos de identificación de patrones de árboles sobre estas imágenes recortadas, y se marcarán en recuadros los árboles detectados. Además, se realizarán el conteo automático relacionado con la declaración gráfica.
— Se buscarán nuevos métodos de ingeniería del software para la creación de procesos de tratamiento masivo de análisis de recintos. Esto es, los procesos anteriores podrán ser aplicados de manera automática a un conjunto elevado de declaraciones gráficas (pueden ser miles) y hacer el análisis automático del conteo de árboles y arboledas, y la generación automática de informes PDFs de cada recinto.
1.2. Investigar en nuevas metodologías de análisis de imágenes a través de las fotografías de teléfonos móviles, de forma que en una aplicación móvil se puedan incorporar los datos de las imágenes de satélite con las fotografías georeferenciadas y que sea útil para la gestión de expedientes. La novedad de esta línea de investigación con respecto a otras aplicaciones móviles existentes consistirá en que se guiará al agricultor a múltiples puntos georeferenciados, se estudiará los valores de inclinación y enfoque para obtener los datos óptimos para el expediente. Esto podrá servir tanto para el análisis de fotografía agrícolas como ganaderas. Además, se busca que esta forma de trabajo pueda servir como vía de comunicación con el agricultor donde se muestre la evolución de su recinto.
1.3. Generar patrones de redes neuronales sobre diferentes cultivos para automatizar tareas de monitorización que pueda servir de apoyo a los diferentes Servicios de la Dirección General en el uso del sistema InteliPAC mediante el estudio analítico de las imágenes de satélite Sentinel-2 del programa Copérnicus. Estas tareas serán especificadas por la Comisión de Seguimiento que se describe en la cláusula Quinta.
2. Para ejecutar el objeto del convenio se compromete la Consejería de Agricultura, Ganadería y Desarrollo Sostenible:
2.1. Aportar el apoyo de personal técnico, así como la información estadística que le sea solicitada por la Universidad de Extremadura.
2.2. Aportar la cuantía que se especifica en la clausula siguiente para sufragar los gastos que conlleva la realización del objeto del convenio.
2.3. Mantener las reuniones de coordinación necesarias para la correcta aplicación de los trabajos de control por monitorización en su ámbito territorial.
Tercera. Financiación.
La Consejería de Agricultura, Ganadería y Desarrollo Sostenible se compromete a sufragar los costes de ejecución de los trabajos que se indican en la cláusula segunda, abonando a la Universidad de Extremadura, conforme se recoge en la memoria económica, la cantidad de ochenta y cinco mil seiscientos treinta y cinco euros (85.635,00€) con cargo a la siguiente aplicación presupuestaria: 120040000 G/312B/64000 CAG000000, proyecto 120230449, por el procedimiento de tramitación anticipada condicionado a la existencia de crédito adecuado y suficiente en los correspondientes presupuestos.
Si el Convenio se extinguiera antes de la fecha de vencimiento el coste para la Consejería de Agricultura, Ganadería y Desarrollo Sostenible se reducirá en proporción a los trabajos que la Universidad de Extremadura todavía no hubiera realizado.
Cuarta. Duración del convenio.
El presente convenio surtirá efectos desde la fecha de su otorgamiento por las partes, extendiendo su duración hasta el 15 de noviembre de 2024.
El convenio se perfeccionará con el consentimiento de las partes expresado mediante su firma y resultará eficaz una vez inscrito en el Registro General de Convenios de la Administración de la Comunidad Autónoma de Extremadura. Asimismo, será publicado en el Diario Oficial de Extremadura en el plazo de un mes desde su inscripción en el Registro.
No obstante, los firmantes del convenio podrán acordar unánimemente su prórroga, de acuerdo con el apartado h) del artículo 49 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, debiendo suscribirse antes de la finalización del plazo de vigencia previsto y estando condicionado a la existencia de crédito adecuado y suficiente en los correspondientes presupuestos, y al informe favorable de la Comisión de Seguimiento.
Quinta. Mecanismos de seguimiento, vigilancia y control.
Para facilitar el control y seguimiento del desarrollo de este Convenio se constituirá en el mes siguiente a su firma una Comisión de Seguimiento integrada por tres representantes de cada parte firmante.
Los miembros de la Comisión de Seguimiento serán designados, respectivamente, por el Director General de Política Agraria Comunitaria de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible y la Universidad de Extremadura.
Por parte de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible formarán parte de la Comisión de seguimiento dos personas que ostenten la condición de funcionarios y que desempeñen sus funciones en el ámbito de organización de la Dirección General de Política Agraria Comunitaria y, por parte de la Dirección General de Digitalización de la Administración, el Jefe del Servicio de Desarrollo de Servicios Digitales Agrarios.
Las personas representantes de la Universidad de Extremadura serán tres profesores de la Universidad de Extremadura intervinientes en el proyecto y designados por el Rector de la Universidad de Extremadura.
La Comisión de Seguimiento será la encargada de garantizar su cumplimiento, dirigir los trabajos derivados de este convenio, resolver las controversias que pudieran surgir en su difusión y propuestas de futuras líneas de trabajo. Asimismo, le corresponde planificar las tareas desarrolladas al grupo de trabajo y realizar el análisis y evaluación posterior de sus resultados.
La Comisión podrá emitir informes, dictámenes y propuestas para el logro del cumplimiento de los objetivos de este Convenio.
La Presidencia de la Comisión será ejercida por la persona designada por el Director General de Política Agraria Comunitaria.
El Director General de Política Agraria Comunitaria nombrará una Dirección Técnica del presente convenio encargada de verificar la conformidad del contenido del convenio con el contenido del trabajo realizado por la Universidad de Extremadura. La Comisión se reunirá siempre que sea necesario para el desarrollo de los trabajos, a iniciativa de su Presidente.
Sexta. Justificación de la realización del objeto del convenio y forma de pago.
1. Justificación:
La justificación de la realización de cada una de las tareas del objeto del convenio deberá presentarse por la Universidad de Extremadura ante la Secretaria General de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible en el plazo de 15 días desde la fecha de vencimiento del periodo de duración previsto en la cláusula cuarta de este convenio, periodo que comprende desde la fecha de su otorgamiento por las partes hasta el 15 de noviembre de 2024.
La documentación justificativa del cumplimiento del objeto del convenio comprenderá:
— Memoria técnica descriptiva de las acciones realizadas, firmada por el representante legal de la Universidad de Extremadura mediante los medios electrónicos que procedan de identificación y firma.
— Cuadro resumen con desglose de gastos por actuación, relación de facturas imputadas y justificantes de pago, gastos de personal de cada trabajador imputado al objeto del convenio, así como dietas y desplazamientos.
— Certificación del interventor de la Universidad de Extremadura o, en su defecto, del órgano que tenga atribuidas las facultades de la toma de razón en contabilidad, respecto de los gastos y pagos realizados y del cumplimiento de la finalidad para la que fue concedida, acompañados, en su caso, de las listas de comprobación e informes de control efectuados sobre los gastos que se certifica.
2. Forma de pago:
La Consejería de Agricultura, Ganadería y Desarrollo Sostenible, una vez recibida la documentación justificativa antes detallada y tras ser comprobada por parte de la Comisión de Seguimiento, abonará la totalidad de los costes de ejecución mencionados antes del 31 de diciembre del año de realización de los trabajos.
Los abonos a la Universidad de Extremadura se realizarán mediante transferencia bancaria IBAN ES39 0049-6744-45-2216163524 a nombre de la Universidad de Extremadura.
Séptima. Modificación del convenio, extinción y resolución.
1. El presente convenio podrá modificarse por acuerdo de ambas partes, de conformidad con el artículo 49.g) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
2. El presente convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en cualquiera de las causas de resolución previstas en el artículo 51.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
De acuerdo con este precepto, son causas de resolución:
a) El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.
b) El acuerdo unánime de todos los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos.
Este requerimiento será comunicado, asimismo, a la Comisión de Seguimiento prevista en la cláusula quinta. Si transcurrido el plazo indicado en el mencionado requerimiento, persistiera el incumplimiento, la parte que lo dirigió aquel notificará a la otra parte firmante la concurrencia de la causa de resolución del convenio y se entenderá resuelto el mismo.
En todo caso, las partes, a propuesta de la Comisión de Seguimiento, podrán acordar la continuación y finalización de las actuaciones en curso que consideren oportunas, estableciendo un plazo improrrogable para su finalización, transcurrido el cual deberán liquidarse.
d) Por decisión judicial declaratoria de la nulidad del convenio.
e) Por cualquier otra causa distinta de las anteriores prevista en este convenio o en otras leyes.
Extinguido el convenio se procederá a su liquidación al objeto de determinar las obligaciones y compromisos de cada una de las partes, con los efectos previstos en el artículo 52 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Octava. Protección y seguridad de la información.
1. En el desarrollo del presente convenio las partes adoptarán las medidas de seguridad requeridas por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como lo indicado en el Esquema Nacional de Seguridad (ENS) establecido en el Real Decreto 3/2010, de 8 de enero, y sus modificaciones; así como, aquella otra normativa reguladora de la protección de datos de carácter personal que sea de aplicación durante la vigencia de este convenio.
2. Las partes se comprometen a cumplir la política de seguridad y confidencialidad de la información y a someterse a los sistemas de verificación establecidos por el Sistema de Gestión de la Seguridad de la Información del Organismo Pagador de la Comunidad Autónoma de Extremadura de Fondos FEAGA y FEADER, de acuerdo con lo dispuesto en el anexo que se adjunta al presente convenio y la legislación estatal o autonómica que resulte aplicable en cada caso.
Novena. Publicidad del convenio.
El presente convenio de colaboración estará sujeto al régimen de publicidad exigido por el artículo 10 de la Ley 4/2013, de 21 de mayo, de Gobierno Abierto de Extremadura (DOE núm. 99, de 24 de mayo), de acuerdo con el artículo 46 de la Ley 6/2022, de 30 de diciembre, de Presupuestos Generales de la Comunidad Autónoma de Extremadura para el año 2023. (DOE núm. 3, de 31 de enero).
Décima. Resolución de conflictos.
En defecto de las normas específicas, para resolver las dudas o lagunas que pudieran producirse, se aplicarán los principios de la Ley 40/2015, de 1 de octubre.
Las cuestiones litigiosas que puedan surgir de su interpretación, modificación, efectos o resolución, y que no hayan podido solventarse a través de la Comisión de Seguimiento, se sustanciarán conforme a Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa.
En prueba de conformidad y para la debida constancia de lo convenido, las partes suscriben el presente convenio, a la fecha de la firma electrónica.
El Rector Magnífico de la Universidad de Extremadura,
Pedro María Fernández Salguero
(Resolución de 2 de agosto de 2023DOE 152, de 08/08/2023),
María de la Concepción Montero Gómez
ANEXO
COMPROMISO DE CUMPLIMIENTO DE LAS CLÁUSULAS RELATIVAS A SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES.
Primero. Requisitos de seguridad de la información en los equipos informáticos.
La Consejería de Agricultura, Ganadería y Desarrollo Sostenible es la Responsable del tratamiento con las funciones, derechos y obligaciones que le son propias (en adelante Responsable).
La otra Administración Pública, organismo o entidad de derecho público o privado firmante del convenio que acceda a datos de carácter personal que resulten necesarios para el cumplimiento del mismo, por cuenta del responsable del tratamiento, asume las responsabilidad establecidas en el Reglamento (UE) 2016/679, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, y en sus normas de desarrollo, en su condición de Encargado del tratamiento (en adelante Encargado) (artículo 28 del RGPD).
Los equipos informáticos utilizados por el personal del encargado, y que serán proporcionados por ésta para el cumplimiento del objeto del convenio, deben estar actualizados y optimizados a las actividades del perfil correspondiente para la satisfacción del citado convenio.
Estos equipos informáticos estarán sometidos a las políticas y normativas establecidas en la Junta de Extremadura, por parte de la Dirección General de Tecnologías de la Información y Comunicación (DGTIC) y la Consejería de Agricultura, Ganadería y Desarrollo Sostenible, según corresponda.
Las licencias de software necesarias para la realización del convenio, serán propiedad del encargado, no permitiéndose la instalación de licencias nominales, propiedad de la Junta de Extremadura, en los equipos propiedad del encargado del tratamiento.
Por tanto, deben cumplirse las siguientes condiciones en los equipos informáticos aportados por el encargado del tratamiento.
— Sistema operativo: El Sistema Operativo tiene que estar licenciado y actualizado con los parches de seguridad. El sistema operativo será el necesario para poder realizar los trabajos que constituyen el objeto del convenio.
— Sistema de protección antivirus: el encargado debe proporcionar su propio software antivirus y debe mantenerse actualizado.
— Soporte y actualización de los equipos informáticos: será llevado a cabo por parte del encargado.
Cuando los equipos informáticos estén conectados a la red corporativa de la Junta de Extremadura:
— Dichos equipos contarán con las mismas medidas de seguridad establecidas para el resto de equipos de la Junta de Extremadura.
— Los equipos serán inventariados en el inventario de la Junta de Extremadura.
— Los usuarios no tendrán permisos de administrador en dichos equipos, salvo excepciones debidamente justificadas y registradas por parte de la DGTIC y autorizadas por el Responsable de Seguridad de la Información del Organismo Pagador.
— La Junta de Extremadura puede requerir la instalación de software en los equipos del encargado, como por ejemplo OCS Inventory.
Segundo. Confidencialidad de la información.
El encargado del tratamiento vendrá obligado a guardar la más estricta confidencialidad sobre el contenido del convenio, así como sobre los datos o información a la que pueda tener acceso como consecuencia de la ejecución del mismo, y a usar dicha información a los exclusivos fines de la ejecución del convenio y conforme a la Política de Seguridad del responsable en los términos en que resulte aplicable. Esta obligación se mantendrá incluso después de la finalización del convenio.
El deber de confidencialidad sobre la información del responsable será extensible a todo el personal del encargado o colaborador que participe en la ejecución del convenio.
Todo el personal del encargado protegerá, en la medida de sus posibilidades, la información propiedad del responsable y los sistemas de información a los que tenga acceso con el fin de evitar revelación, alteración o uso indebido de la información.
El acceso y posesión de información del responsable por parte del encargado es estrictamente temporal y vinculado a la ejecución del convenio, sin que ello confiera derecho alguno de posesión, de titularidad de copia o de transmisión sobre dicha información.
El encargado, una vez finalizadas las tareas que han originado el acceso a la información, deberá devolver los soportes y documentación que pudiera habérsele facilitado.
El encargado no puede transmitir, enviar, compartir o poner a disposición de otras entidades información propiedad del responsable, a no ser que de manera previa haya sido expresamente autorizado para hacerlo, independientemente del medio o formato de la información y de su contenido.
Tercero. Datos de carácter personal.
A) Base normativa.
Las partes que suscriben el convenio quedan obligadas al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (En adelante RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como su normativa de desarrollo.
B) Obligaciones derivadas del convenio.
B.1) Obligaciones derivadas del convenio.
El Encargado y todo el personal bajo su control se obliga a:
a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del convenio En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo con las instrucciones documentadas del Responsable. Inclusive con respecto a las transferencias internacionales de datos, si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
c. Llevar, por escrito, salvo que pueda acogerse a alguna de las excepciones del artículo 30.5 del RGPD, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga, conforme al artículo 30.2 del RGPD:
1. El nombre y los datos de contacto del Encargado y de cada responsable por cuenta del cual actúe el Encargado.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando al tratamiento de los datos.
d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable, en los supuestos legalmente admisibles.
e. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente convenio, incluso después de que finalice el mismo.
f. Garantizar que las personas autorizadas para tratar datos personales se comprometan de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que el encargado les informará convenientemente. El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de esta obligación.
g. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
h. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el Encargado, éste debe comunicarlo por correo electrónico a la dirección que indique el Responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
i. Notificación de violaciones de la seguridad de los datos. El encargado notificará al Responsable, sin dilación indebida y a través de la dirección de correo electrónico que le indique el Responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Se facilitará, como mínimo, la información siguiente:
— Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
— Datos de la persona de contacto del Encargado para obtener más información.
— Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
— Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
j. El Encargado asistirá al Responsable con toda la información de la que disponga, a realizar la comunicación de las violaciones de la seguridad a los interesados, cuando sea probable que dicha violación suponga un alto riesgo para sus derechos y libertades.
k. El Encargado, a petición del Responsable, comunicará en el menor tiempo posible, con toda la información de la que disponga, la violación de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el Responsable y, como mínimo:
— La naturaleza de la violación de datos.
— Indicación de contacto del Responsable o del Encargado donde se pueda obtener más información.
— Posibles consecuencias de la violación de la seguridad de los datos personales.
— Medidas adoptadas o propuestas por el Responsable para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
l. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él.
m. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Las medidas de seguridad mínimas se recogen en el apartado Medidas de seguridad mínimas a aplicar por el Encargado.
B.2) Obligaciones del responsable.
Corresponde al Responsable:
— Proporcionar al Encargado los datos necesarios para que pueda cumplir el convenio.
— Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
— Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
C) Medidas de seguridad mínimas a aplicar por el encargado.
C.1) Ámbito de aplicación.
Los ámbitos de aplicación de estas medidas serán:
— Los recursos bajo el control del Encargado (como sistemas informáticos y/o de archivo, centros de trabajo y trabajadores) y que éste destine al tratamiento de los datos.
— Los recursos bajo el control del Responsable cuanto éste haya encomendado al Encargado la seguridad de los mismos.
— Los sistemas de información que el Encargado desarrolle o implante por cuenta del Responsable.
C.2) Medidas organizativas.
Todo el personal al que el Encargado proporcione acceso a los datos personales deberá ser informado de las siguientes medidas organizativas:
1. Deber de confidencialidad y secreto, este deber persiste incluso cuando finalice la relación laboral o de prestación de servicios.
2. Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
3. Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
4. No se desecharán documentos (papel) o soportes electrónicos (cd, pendrives, discos duros, etc.) con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
5. No se comunicarán datos personales o cualquier información personal a terceros, prestando atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
6. Derechos de los titulares de los datos. Se informará a todo el personal del Encargado acerca del procedimiento, si procede, para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los mismos y teniendo en cuenta lo siguiente:
6.1. Los interesados podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito al Responsable, a través de direcciones especificadas.
6.2. Asimismo, podrán ponerse en contacto con los respectivos delegados de protección de datos en la dirección dpd@juntaex.es, o presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente.
6.3. La obligación de atender estos derechos corresponde al Responsable.
6.4. Si la petición la recibe el Encargado, en relación a los tratamientos por cuenta del Responsable, éste tiene la obligación de comunicarle dicha solicitud en un periodo inferior a 24 horas, acompañándola de la información pertinente de la que disponga.
6.5. El Responsable identificará las acciones que deben realizarse en base a la petición de los interesados, que serán comunicadas al Encargado.
a. Para el derecho de acceso se procederá a facilitar al Responsable los datos de los interesados que obren en su poder.
b. Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
c. Para el derecho de supresión se suprimirán los datos de los interesados cuando estos manifiesten su negativa u oposición para el tratamiento de los mismos y no exista base legal que lo impida.
6.6. Violaciones de seguridad de datos de carácter personal. Cuando se produzcan violaciones de seguridad de datos de carácter personal, como, por ejemplo, el robo o acceso indebido a los mismos se notificará al Responsable de forma inmediata acerca de tal circunstancia, incluyendo toda la información necesaria para el esclarecimiento de los hechos. Asimismo, se apoyará al Responsable para realizar la notificación de la violación de la seguridad a la Agencia Española de Protección de Datos teniendo en cuenta la información a disposición del Encargado.
6.7. El ejercicio de derechos requerirá la previa presentación por parte del interesado de copia de su DNI o documento identificativo.
6.8. No obstante el Encargado tiene la obligación de informar a cualquier interesado de las siguientes circunstancias:
a. Lista de tipologías de datos personales tratados.
b. Finalidad para la que han sido recogidos.
c. Identidad de los destinatarios de los datos.
d. Plazo de conservación de los datos.
e. Identidad del Responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento.
f. Datos de contacto del Delegado de Protección de Datos.
C.3) Medidas de seguridad técnicas para la identificación.
El Encargado implantará como mínimo las siguientes medidas técnicas para garantizar la identificación y autenticación de los usuarios con acceso a los datos:
1. No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
2. Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
3. Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá los menos 8 caracteres, mezcla de números y letras, caracteres especiales, etc. y se renovarán periódicamente.
4. Cuando a los datos personales accedan distintas personas, para cada una de ellas, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
5. Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
C.4) Medidas de seguridad técnicas para salvaguardar los datos.
A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:
1. Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados.
2. Malware. En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida de lo posible el robo y destrucción de la información y tales datos personales. El sistema de antivirus deberá estar actualizado permanentemente y gestionado de forma central.
3. Cortafuegos. Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un cortafuego activado en aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de los mismos.
4. Cifrado de datos. Cuando se precise utilizar datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar su confidencialidad.
5. Copia de seguridad. Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en un lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
C.5) Verificación, evaluación y valoración periódica de las medidas de seguridad.
El Encargado implantará un procedimiento periódico que le permita verificar, evaluar y valorar, la eficacia de las medidas técnicas y organizativas implantadas en los sistemas de tratamiento, centros de trabajo y usuarios bajo su control.
De ese procedimiento periódico se derivarán la implantación de mecanismos adicionales para:
— Garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.
— Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
— Seudonimizar y cifrar los datos personales, en su caso.
Las medidas de seguridad abarcarán la protección de los sistemas de información así como de los sistemas de tratamiento manual y el archivo de la documentación.
La revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.
C.6) Medidas de seguridad.
El Encargado dispondrá en todo momento de información actualizada sobre las medidas de seguridad aplicadas y deberá proporcionarlas al Responsable cuando éste las solicite y en todo caso siempre que haya cambios relevantes en su arquitectura de seguridad de la información.
D) Propiedad industrial e intelectual.
Sin perjuicio de lo dispuesto en la legislación vigente, el encargado del tratamiento acepta expresamente que la propiedad de la documentación y los trabajos realizados al amparo del presente convenio, y durante el período de garantía y mantenimiento, corresponde únicamente a la Junta de Extremadura, con exclusividad y sin más limitaciones que las impuestas por el ordenamiento jurídico.
Sin perjuicio de lo dispuesto por la legislación vigente en materia de propiedad intelectual y de protección jurídica de los programas de ordenador, el encargado acepta expresamente que los derechos de explotación y la propiedad del código fuente de las aplicaciones desarrolladas al amparo del presente convenio corresponden únicamente a la Junta de Extremadura, con exclusividad y a todos los efectos.
El encargado del tratamiento acepta expresamente que los derechos de propiedad sobre los soportes materiales a los que se incorporen los trabajos realizados, en cumplimiento de las obligaciones derivadas del convenio, corresponden a la Junta de Extremadura.
El encargado del tratamiento exonerará a la Junta de Extremadura de cualquier tipo de responsabilidad frente a terceros por reclamaciones de cualquier índole dimanante de los suministros, materiales, procedimientos y medios utilizados para la ejecución del convenio procedente de los titulares de derechos de propiedad industrial e intelectual sobre ellos.
Si fuera necesario, el encargado del tratamiento estará obligado, antes de la firma del convenio, a obtener las licencias y autorizaciones precisas que le legitimen para la ejecución del mismo.
En caso de acciones dirigidas contra la Junta de Extremadura por terceros titulares de derechos sobre los medios utilizados por el encargado del tratamiento para la ejecución del convenio, éste responderá ante la Junta de Extremadura del resultado de dichas acciones, estando obligado, además, a prestarle su plena ayuda en el ejercicio de las acciones que competan a la Junta de Extremadura.
El encargado del tratamiento no podrá hacer uso del nombre, marca o logotipo que le haya facilitado la Junta de Extremadura para el cumplimiento de sus obligaciones dimanantes del presente convenio, fuera de las circunstancias y para los fines expresamente pactados en éste, ni una vez terminada la vigencia del mismo.
E) Devolución de activos.
Para el supuesto de que el cumplimiento del convenio conlleve la entrega de activos, el Encargado del tratamiento se compromete a la devolución de todos los activos de que haya dispuesto para el cumplimiento del mismo, ya sean software, documentación corporativa, equipos y/o recursos materiales. Así mismo, si el personal del encargado dispone de permisos de acceso a instalaciones o sistemas, estos deben ser devueltos o comunicados para su anulación en el momento de finalización del convenio, respondiendo de su uso una vez finalizado.
El encargado del tratamiento se compromete a entregar a la Junta de Extremadura toda la información y documentación resultante de los trabajos objeto del presente convenio, viniendo obligado, además, a no mantener documentación o almacenar información en locales o equipos ajenos o no autorizados por la Junta de Extremadura, durante o una vez finalizado el plazo de ejecución del convenio.
En los casos en que la Junta de Extremadura lo estime necesario podrá exigir al encargado del tratamiento certificaciones de destrucción de documentos o eliminación de información de los equipos empleados para la realización de objeto del convenio, asimismo, podrá realizar revisiones de las instalaciones y procedimientos empleados por el encargado del tratamiento.
Sin perjuicio de lo dispuesto en la legislación vigente, el incumplimiento de estos compromisos y las consecuencias derivadas de ello serán responsabilidad exclusiva del encargado del tratamiento, que responderá frente a terceros y frente a la Administración de la Junta de Extremadura de los daños y perjuicios que pudieran generarse.
F) Auditoría.
La Junta de Extremadura podrá exigir al encargado del tratamiento cualquier evidencia de cumplimiento con la legislación aplicable, conforme a lo marcado en los acuerdos firmados por ambas partes, así como con los requisitos de seguridad impuestos por parte de la Junta de Extremadura. Para ello la Junta de Extremadura se reserva el ejercicio de los siguientes derechos:
— Revisar o auditar los mecanismos de salvaguarda de la Seguridad de la Información que tenga implementados el encargado del tratamiento y que estén relacionados o implicados con los sistemas utilizados en el convenio.
— Revisar o auditar el cumplimiento por parte del encargado del tratamiento con la legislación aplicable.
— Requerir al encargado del tratamiento los documentos derivados de los procesos de auditoría llevados a cabo por éste, así como cualquier otra evidencia sobre el cumplimiento con el marco legal aplicable y con los requisitos impuestos en el convenio.
— Solicitar la implementación de cualquier mecanismo organizativo, técnico o jurídico que considere adecuado para garantizar la Seguridad de la Información.
Para facilitar el ejercicio de los anteriores derechos por parte de la Junta de Extremadura, el encargado del tratamiento se compromete a facilitar y participar activamente en el desarrollo de las actividades anteriormente descritas.
G) Cumplimiento con la política de seguridad de la información de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible.
El Responsable del tratamiento dispone de una Política de Seguridad de la Información, así como de un Marco Normativo para su desarrollo, los cuales establecen los controles de seguridad que se deben aplicar con objeto de garantizar la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información. Es obligación del encargado del tratamiento el conocimiento, cumplimiento e implantación de aquellas medidas de seguridad establecidas en el Marco Normativo que, con base en la naturaleza de los servicios prestados, sea de aplicación. El responsable se reserva el derecho de exigir al encargado la aplicación de las medidas de seguridad adicionales cuando los requisitos de seguridad de la información aplicables al servicio así lo requieran.
El encargado del tratamiento deberá concienciar y formar a su personal en materia de seguridad de la información, y en particular aquellos aspectos de la Política de Seguridad de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible y su Marco Normativo de desarrollo que sean de aplicación en base a la naturaleza de los servicios prestados.
Los trabajadores del encargado, por su parte, deben tener siempre presentes durante el desempeño de sus funciones los principios de la ética, la profesionalidad, la confidencialidad y la responsabilidad.
De forma general, todo el personal del encargado que acceda a información de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible deberá cumplir con las siguientes normas:
— Acceder exclusivamente a los sistemas de información mediante el acceso y los medios autorizados.
— Proteger la confidencialidad de la información de toda revelación no autorizada.
— Proteger la integridad de la información del responsable del tratamiento a la que tenga acceso.
— Proteger la información y los sistemas de información de cualquier alteración no autorizada.
— Todos los empleados del encargado deben hacerse responsables de la custodia personal de las credenciales que tienen asignadas para el acceso a los recursos de los sistemas de información del responsable. Estas credenciales nunca pueden ser facilitadas a terceras personas, sean o no empleados del encargado, y los propietarios de las mismas deben ser únicos responsables del uso que se haga de ellas.
Además, el encargado debe poner en marcha medidas de control para garantizar la supervisión de las actuaciones para sus trabajadores.
H) Prestación de los servicios en las instalaciones de la Consejería de Agricultura, Ganadería y Desarrollo Sostenible.
El personal del encargado del tratamiento que desempeñe sus funciones en las instalaciones del responsable, deberá conocer y cumplir las medidas de seguridad establecidas en el Manual de responsabilidades de Seguridad de la Información para usuarios . Es responsabilidad del encargado del tratamiento la distribución, cuando sea necesario, de este manual entre sus trabajadores.
I) Transmisión de información por parte del encargado a otras entidades.
El encargado del tratamiento no puede transmitir, enviar, compartir o poner a disposición de otras entidades información propiedad del responsable, a no ser que de manera previa haya sido expresamente autorizado para hacerlo, independientemente del medio o formato de la información y de su contenido. En el caso de existir dicha autorización se deberá velar por el cumplimiento de las siguientes normas:
— Deben extenderse al receptor de la información todas las obligaciones del encargado del tratamiento en materia de Seguridad de la Información impuestas por el responsable.
— El encargado del tratamiento será responsable del uso y protección de la información del responsable que le haya sido proporcionada, así como de los perjuicios ocasionados al responsable en los casos en los que la seguridad de la información hubiera sido comprometida.
— Se podrá transmitir única y exclusivamente la información estrictamente necesaria para que el encargado del tratamiento autorizado pueda llevar a cabo su cometido.
— La información sólo podrá ser transmitida a los destinatarios autorizados, que han de estar unívocamente identificados, y por medios que garanticen la identidad del destinatario.
— En la transmisión de la información se deben aplicar mecanismos que imposibiliten el acceso a ella por parte de otras entidades no autorizadas. Igualmente, en el almacenamiento de la información en dispositivos portátiles o extraíbles se deben aplicar mecanismos que imposibiliten dichos accesos.
J) Protección del equipamiento informático.
En todo aquel equipamiento informático propiedad del encargado en el cual se almacene, procese o desde el que se acceda a información del responsable, el encargado deberá aplicar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de dicha información. Al menos, el encargado debe aplicar las siguientes medidas de seguridad:
— Protección contra código malicioso: todos los equipos deben contar con programas antivirus y de protección ante software malicioso (malware) actualizados de forma automática y permanente.
— Control de acceso: todos los equipos deben disponer de medidas que aseguren el acceso sólo por parte del personal autorizado.
— Bloqueo de terminales: no deben dejarse los terminales desatendidos sin antes haber bloqueado la sesión de usuario con el fin de evitar accesos no autorizados. El bloqueo automático tras un periodo de inactividad también debe estar activado.
— Actualización de sistemas: todo el equipamiento informático debe estar al día con las últimas actualizaciones y parches de seguridad disponibles.
— Salvaguarda de la información: se han de implementar mecanismos de copia de seguridad y recuperación en aquella información del responsable.
— Privilegios: los usuarios no deben poder deshabilitar o desinstalar las protecciones de seguridad implantadas en los equipos.
El responsable se reserva el derecho de exigir la implantación de las medidas de seguridad adicionales que considere oportunas en el equipamiento informático del encargado.
K) Seguridad en las instalaciones del encargado.
En aquellas instalaciones, donde se almacene o procese información del responsable, el encargado del tratamiento deberá implementar medidas de seguridad física, ambiental y de control de acceso, y todo su personal deberá participar activamente en la implantación y cumplimiento de estas medidas.