Junta de Extremadura

Página Web del Diario Oficial de Extremadura

Ultimos Diarios Oficiales

AVISO: La traducción a portugués deriva de un proceso automático con carácter informativo.

Logo DOE
Logo DOE

Resolución de 20 de abril de 2023, de la Secretaría General, por la que se da publicidad al Convenio entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio y la Asociación para la Certificación Española PEFC Asociación (PEFC España) por el que se articula la concesión directa de una subvención para la promoción de la certificación forestal "PEFC" en el marco de los Fondos de Recuperación y Resiliencia (MRR) de los Next Generation dentro del Proyecto de planificación de dehesas de pequeño tamaño, por adhesión a modelos de gestión forestal y su certificación forestal sostenible.
DOE Número: 81
Tipo: Ordinario
Fecha Publicación: viernes, 28 de abril de 2023
Apartado: III OTRAS RESOLUCIONES
Organismo: CONSEJERÍA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA
Rango: Resolución
Descriptores: Convenios.
Página Inicio: 27506
Página Fin: 27547
Otros formatos:
PDFFormato PDF XMLFormato XML
TEXTO ORIGINAL
Habiéndose firmado el día 13 de abril de 2023, el Convenio entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio y la Asociación para la Certificación Española PEFC Asociación (PEFC España) por el que se articula la concesión directa de una subvención para la promoción de la certificación forestal PEFC en el marco de los Fondos de Recuperación y Resiliencia (MRR) de los Next Generation dentro del Proyecto de Planificación de dehesas de pequeño tamaño, por adhesión a modelos de gestión forestal y su certificación forestal sostenible, de conformidad con lo previsto en el artículo 8 del Decreto 217/2013, de 19 de noviembre, por el que se regula el Registro General de Convenios de la Administración de la Comunidad Autónoma de Extremadura.
RESUELVO:
La publicación en el Diario Oficial de Extremadura del convenio que figura como anexo de la presente resolución.
Mérida, 20 de abril de 2023.
La Secretaria General.
PA, Resolución de 01/03/2021,DOE n.º 43, de 4 de marzo de 2021.
La Jefa de Servicio de Legislación y Documentación,
M.ª MERCEDES ARGUETA MILLÁN
CONVENIO ENTRE LA CONSEJERÍA DE AGRICULTURA, DESARROLLO RURAL, POBLACIÓN Y TERRITORIO Y LA ASOCIACIÓN PARA LA CERTIFICACIÓN ESPAÑOLA PEFC ASOCIACION (PEFC ESPAÑA) POR EL QUE SE ARTICULA LA CONCESIÓN DIRECTA DE UNA SUBVENCIÓN PARA LA PROMOCIÓN DE LA CERTIFICACIÓN FORESTAL PEFC EN EL MARCO DE LOS FONDOS DE RECUPERACIÓN Y RESILIENCIA (MRR) DE LOS NEXT GENERATION DENTRO DEL PROYECTO DE PLANIFICACIÓN DE DEHESAS DE PEQUEÑO TAMAÑO, POR ADHESIÓN A MODELOS DE GESTIÓN FORESTAL Y SU CERTIFICACIÓN FORESTAL SOSTENIBLE
13 de abril de 2023.
REUNIDOS
De una parte, D. Pedro Muñoz Barco, Director General de Política Forestal de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio de la Junta de Extremadura.
De otra parte, Dña. Ana Belén Noriega Bravo, en calidad de Secretaria General de PEFC España -Asociación para la Certificación Española Forestal- con NIF, ***338***, autorizada por acuerdo AG16/2/1 de la Asamblea General de PEFC España celebrada el 15 de junio de 2012, para firmar el presente convenio.
Ambas partes, en representación de las instituciones a las que pertenecen y en uso de las facultades que por sus cargos tienen conferidas, se reconocen mutuamente capacidad legal suficiente para intervenir en el presente convenio y a tal efecto
MANIFIESTAN
Primero. La Comunidad Autónoma de Extremadura, a través de su Estatuto de Autonomía, define como principios rectores de los poderes públicos extremeños la persecución de un modelo de desarrollo sostenible y el cuidado de la preservación y mejora de la calidad medioambiental y la biodiversidad de la región, con especial atención a sus ecosistemas característicos, como la dehesa. Asimismo, sus políticas contribuirán proporcionadamente a los objetivos establecidos en los acuerdos internacionales sobre lucha contra el cambio climático, teniendo competencias de desarrollo normativo y ejecución sobre medioambiente, regulación y protección de la flora, la fauna y la biodiversidad, prevención y corrección de la generación de residuos y vertidos y de la contaminación acústica, atmosférica, lumínica, del suelo y del subsuelo, regulación del abastecimiento, saneamiento y depuración de las aguas y montes, aprovechamientos forestales y vías pecuarias.
NEXTGENERATIONEU - GOBIERNO DE ESPAÑA- PLAN DE RECUPERACION - JUNTA DE EXTREMADURA
Segundo. La Consejería de Agricultura, Desarrollo Rural, Población y Territorio, tiene asumidas las competencias en materia de ordenación y gestión forestal, asignadas por Decreto 41/2021, de 2 de diciembre, por el que se modifica la denominación y competencias de las Consejerías que conforman la Administración de la Comunidad Autónoma de Extremadura.
Conforme se establece en el artículo 13 del Decreto 87/2019, de 2 de agosto, por el que se establece la estructura orgánica básica de la Administración de la Comunidad Autónoma de Extremadura, a la Dirección General de Política Forestal le corresponden las funciones de la promoción, ejecución y control en materia de gestión de la riqueza y potencial forestal y sus aprovechamientos, así como la gestión de la riqueza piscícola y cinegética. Igualmente, le corresponden las funciones en materia de prevención y extinción de los incendios forestales.
En concreto, el Servicio de Ordenación y Gestión Forestal, adscrito a la Dirección General de Política Forestal de la Junta de Extremadura, es el órgano encargado de la gestión y planificación forestal de los montes extremeños dando en cada caso su correspondiente tratamiento: gestión directa por la Dirección General de Política Forestal de los montes de gestión pública (montes demaniales propiedad de la Comunidad Autónoma de Extremadura, montes catalogados de Utilidad Pública y montes con alguna figura contractual: Consorcios, convenios y COREFEX) con una superficie aproximada en Extremadura de 280.000 ha, y de la coordinación, seguimiento, vigilancia y control de las actuaciones forestales en los montes de particulares.
Tercero. PEFC España es una entidad sin ánimo de lucro que a través de la certificación de la gestión forestal sostenible pretende garantizar una gestión responsable de los bosques, así como la protección de estos recursos para generaciones presentes y futuras. Esta certificación etiqueta de esta forma a los productos de origen forestal y, por tanto, permite a los consumidores tener la garantía de que han sido elaborados bajo una gestión sostenible.
Cuarto. La Consejería de Agricultura, Desarrollo Rural, Población y Territorio, considera necesario la promoción de actividades encaminadas para la promoción de la certificación de la gestión forestal sostenible de las dehesas, en cumplimiento de la Ley 6/2015, de 24 de marzo, Agraria de Extremadura, recoge en su artículo 256 que Las Administraciones Públicas promoverán la adopción de un sistema formalmente acreditado de certificación de la gestión forestal sostenible en origen de los montes y de la cadena de custodia de los productos forestales, de forma voluntaria, transparente y no discriminatorio .
Quinto. La irrupción de la pandemia del COVID-19 a principios de 2020 tuvo un fuerte impacto sobre la economía europea. Como respuesta el 21 de julio de 2020 el Consejo Europeo acuerda, dentro del nuevo Marco Financiero Plurianual 2021-2027 el instrumento de recuperación NextGenerationEU , con el objeto de lograr economías más resilientes y mejor preparadas para los retos que plantea la doble transición ecológica y digital. En ese marco el Gobierno de España ha puesto en marcha un plan de inversiones y reformas denominado Plan de Recuperación, Transformación y Resiliencia, para ser financiado con cargo al Mecanismo de Recuperación y Resiliencia del Next Generation-UE (MRR). Uno de los componentes de este Mecanismo es el componente 4: Conservación y restauración de ecosistemas y su biodiversidad, que tiene como objetivo alcanzar un buen estado de conservación de los ecosistemas mediante su restauración ecológica cuando sea necesaria, y revertir la pérdida de biodiversidad, garantizando un uso sostenible de los recursos naturales y la preservación y mejora de sus servicios ecosistémicos.
Sexto. Que en el Acuerdo de la Conferencia Sectorial de Medio Ambiente por el que se aprueban los criterios de reparto y la distribución territorial de créditos relativos a la ejecución de determinadas actuaciones del Plan de Recuperación, Transformación y Resiliencia correspondientes a las inversiones I2. Conservación biodiversidad terrestre y marina , I3. Restauración de ecosistemas e infraestructura verde e I4. Gestión forestal sostenible del componente 4 del Plan de Recuperación, Transformación y Resiliencia, se adjudicó a Extremadura en la Reforma 3; Gestión Forestal Sostenible, Inversión 4 (Gestión Forestal Sostenible) del componente 4 la cantidad de 18.376.000 € y de esta cantidad y de acuerdo a la relación de actuaciones financiables por el Acuerdo, corresponden a la actuación Planificación de la regeneración de dehesas de menos de 200 ha, por adhesión a modelos de gestión y certificación forestal un importe de 3.126.000 €.
Esta actuación anteriormente mencionada se justifica en el acuerdo en el subapartado de la Inversión 4 de Planes de soporte técnico a los propietarios y administraciones forestales para la consolidación de la propiedad pública y la redacción de proyectos de ordenación o planes de gestión y sus revisiones y su objetivo es planificar, para las dehesas inferiores a 200 has. colaboradoras, la regeneración de las mismas y el cumplimiento de los indicadores de gestión sostenible de FSC y PEFC, así como su auditoría.
Séptimo. Con fecha de 10 de Octubre de 2022, PEFC España presentó una solicitud a la Consejería de Agricultura, Desarrollo Rural, Población y Territorio de la Junta de Extremadura para ser beneficiario de una subvención de concesión directa concedida por la Consejería de Agricultura, Desarrollo Rural, Población y Territorio para realizar diversas actuaciones encaminadas para la promoción de la certificación forestal PEFC en el marco de los Fondos de Recuperación y Resiliencia (MMR) de los Next Generation, todo ello dentro de la inversión 4. Gestión forestal sostenible del componente 4 del Plan de Recuperación, Transformación y Resiliencia y en el proyecto de Planificación de la regeneración de dehesas de menos de 200 ha, por adhesión a modelos de gestión y certificación forestal . Por ello, la Consejería de Agricultura, Desarrollo Rural, Población y Territorio de la Junta de Extremadura y la organización PEFC España, acordaron la firma de un convenio entre ambos, con el objeto de regular las relaciones entre las partes firmantes para fomentar la certificación de la gestión forestal sostenible y su aplicación a los modelos tipo de gestión forestal en los terrenos adehesados de Extremadura, y más concretamente centrados en elaborar nuevos estándares de certificación en aplicación de los criterios paneuropeos para la gestión forestal sostenible para los modelos de gestión de dehesas establecidos en el Anexo IV del Decreto 119/2022, de 21 de septiembre, por el que se aprueban las instrucciones de ordenación y aprovechamiento de montes, y se regulan el procedimiento de aprobación de los instrumentos de planificación y gestión forestal de Extremadura, y el Registro de Montes Ordenados de Extremadura.
Octavo. El Decreto 119/2022, de 21 de septiembre, por el que se aprueban las instrucciones de ordenación y aprovechamiento de montes, y se regulan el procedimiento de aprobación de los instrumentos de planificación y gestión forestal de Extremadura, y el Registro de Montes Ordenados de Extremadura establece en su anexo IV las instrucciones para la adhesión a modelos tipo de gestión forestal, y en el anexo V se establece el catálogo de modelos tipo de gestión forestal para terrenos adehesados.
Noveno. El artículo 22.4 de la Ley 6/2011, de 23 de marzo, de subvenciones de la Comunidad Autónoma de Extremadura establece que podrán concederse de forma directa, sin convocatoria previa, las subvenciones en las que se acrediten razones de interés público, social, económico o humanitario, u otras debidamente justificadas que dificulten su convocatoria pública.
Décimo. En cumplimiento con lo dispuesto en el Plan de Recuperación, Transformación y Resiliencia, en el Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia, y su normativa de desarrollo, en particular la Comunicación de la Comisión Guía técnica (2021/C 58/01) sobre la aplicación del principio de no causar un perjuicio significativo , así como con lo requerido en la Decisión de Ejecución del Consejo relativa a la aprobación de la evaluación del Plan de Recuperación, Transformación y Resiliencia de España (CID) y su documento Anexo, el presente convenio respeta el principio de no causar un perjuicio significativo al medioambiente (principio DNSH por sus siglas en inglés, Do No Significant Harm ). En este sentido, se cumplen las condiciones específicas asignadas en la Componente 4, así como en las medidas I3 e I4 en la que se enmarcan dichas actuaciones, tanto en lo referido al principio DNSH, como al etiquetado climático y digital, y especialmente las recogidas en los apartados 3, 6 y 8 del documento del Componente del Plan y en el Anexo a la CID.
Así pues, de conformidad con lo establecido en las citadas disposiciones, ambas partes acuerdan suscribir el presente convenio entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio y PEFC España, el cual se regirá por las siguientes,
CLÁUSULAS
Primera. Objeto de la subvención y carácter singular de la misma.
El objeto del presente convenio es regular e instrumentalizar la concesión directa de una subvención que concede la Consejería de Agricultura, Desarrollo Rural, Población y Territorio de la Junta de Extremadura a través de la Dirección General de Política Forestal a la organización PEFC España -Asociación para la Certificación Española Forestal que permita, llevar a cabo diversas actuaciones encaminadas para la promoción de la certificación forestal PEFC en el marco de los Fondos de Recuperación y Resiliencia (MMR) de los NEXT GENERATION, todo ello dentro de la inversión 4. Gestión forestal sostenible del componente 4 del Plan de Recuperación, Transformación y Resiliencia y en el proyecto de Planificación de la regeneración de dehesas de menos de 200 ha, por adhesión a modelos de gestión y certificación forestal .
Por su parte, el artículo 32 de la Ley 6/2011 prevé que en estos supuestos el acto de concesión o el convenio tendrá el carácter de bases reguladoras de la concesión, y determina el contenido mínimo del mismo, en tanto que el artículo 12 recoge las obligaciones de los beneficiarios de subvenciones, siendo por tanto la finalidad del presente convenio articular la concesión directa a PEFC España - para los fines que se señalan y establecer las condiciones y compromisos del beneficiario, de acuerdo con lo establecido con el artículo 32 de la Ley 6/2011, de 23 de marzo, de Subvenciones de la Comunidad Autónoma de Extremadura.
Esta subvención se concede de forma directa y carácter excepcional en aplicación de lo previsto en el artículo 22.2.c de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, en relación con lo establecido en los apartados 2 y 3 del artículo 28 de dicha Ley, por concurrir razones de interés público, social y cultural, el artículo 67 del Real Decreto 887/2006, de 21 de julio, por el que se aprueba el Reglamento de Ley 38/2003, y los artículos 22.4.c y 32.1 a) de la Ley 6/2011, de 23 de marzo, de Subvenciones de la Comunidad Autónoma de Extremadura, que regula el procedimiento de concesión directa por razones que dificulten su convocatoria pública.
La justificación de la determinación de los beneficiarios de esta subvención es que PEFC España es junto con FSC las únicas responsables de fijar los estándares de certificación de la gestión forestal sostenible en España, y además de entre estas dos PEFC es la única que aplica los 6 criterios e indicadores paneuropeos para la gestión forestal sostenibles establecidos en la Conferencia Ministerial Paneuropea sobre la Protección de los Bosques en Europa, celebrada en Lisboa en 1998, y que sirvieron como base para la Norma UNE 162002 aprobada más tarde en 2001. Por esta razón PEFC España es la única entidad posible beneficiaria de la subvención que se articula mediante el presente convenio para la realización del conjunto de actividades mediante la aplicación de esta norma UNE.
El crédito presupuestario que ampara la concesión de esta subvención al beneficiario estará cofinanciado en un 100 % a través del El Plan de Recuperación Transformación y Resiliencia, política n.º 2 Infraestructuras y ecosistemas resilientes , componente 4 Conservación y restauración de ecosistemas marinos y terrestres y su biodiversidad , intervención 4 Gestión Forestal Sostenible de los presupuestos de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio en las anualidades 2023, 2024 , 2025 en la aplicación presupuestaria 480, Proyecto 2021.12.05.MR02C04104 “gestión forestal sostenible: planificación dehesas” (Centro Gestor 120050000, Posición presupuestaria G/354C/48000, Proyecto 20210466, Fuente de financiación MR02C04I04). por lo que no podrán aplicarse los fondos a gastos de distinta naturaleza y finalidad a la que es propia de los gastos imputables a dicho crédito.
1. El hecho diferenciado que hace de interés público y justifican la concesión es consecuencia de los siguientes:
2. La Comunidad Autónoma de Extremadura tiene asumidas las competencias en materia de política forestal que le atribuyen los Reales Decretos de transferencia de funciones a la Junta de Extremadura, y asignadas por el Excmo. Sr. Presidente de la Junta de Extremadura a la Consejería de Agricultura, Desarrollo Rural, Población y Territorio por Decreto como órgano de la Administración de Extremadura encargado de la planificación, diseño, ejecución y seguimiento de la política forestal en el ámbito de la C.A. de Extremadura, que tiene entre sus objetivos, de acuerdo con el artículo 45 de la Constitución Española, la promoción del derecho de todos los ciudadanos a disfrutar de un medio ambiente adecuado para el desarrollo de la persona, así como el deber de conservarlo, correspondiéndole por tanto entre otras favorecer la gestión forestal sostenible mediante el acceso a la ordenación forestal de la mayor parte de la superficie forestal y agroforestal y además para la puesta en valor de esta gestión sostenible el compromiso previsto en la Ley básica de Montes así como en la Ley agraria de Extremadura de promover la adopción de un sistema formalmente acreditado de certificación de la gestión forestal sostenible en origen de los montes y de la cadena de custodia de los productos forestales, de forma voluntaria, transparente y no discriminatorio.
3. La certificación de la gestión forestal sostenible está implantada en España por dos únicos sistemas internacionales; uno de ellos es sistema de certificación PEFC (Programme for the Endorsement of Forest Certification). Esta certificadora es la responsable de fijar los requisitos que los montes deben cumplir para obtener la correspondiente certificación y su reflejo en la comercialización de los productos forestales provenientes de estos terrenos. Por otra parte, Extremadura acaba de aprobar mediante el Decreto 119/2022, de 21 de septiembre, por el que se aprueban las instrucciones de ordenación y aprovechamiento de montes, y se regulan el procedimiento de aprobación de los instrumentos de planificación y gestión forestal de Extremadura, y el Registro de Montes Ordenados de Extremadura 8 modelos de gestión de dehesas de pequeño tamaño y 4 modelos para forestaciones con los que pretende que se ordenen más de 20.000 has. Con el fin de que estas ordenaciones permitan la posterior certificación de la gestión en PEFC es necesaria la implementación de un sistema de certificación basado en los criterios paneuropeos anteriormente mencionados con estos modelos que permitan su certificación.
4. PEFC España es una entidad sin ánimo de lucro que a través de la certificación de la gestión forestal sostenible pretende garantizar una gestión responsable de los bosques, así como la protección de estos recursos para generaciones presentes y futuras. Esta certificación etiqueta de esta forma a los productos de origen forestal y, por tanto, permite a los consumidores tener la garantía de que han sido elaborados bajo una gestión sostenible.
5. Los fondos del Mecanismo de Recuperación y Resiliencia (MRR) tienen entre sus objetivos en la Reforma 3 , la Gestión forestal sostenible, que supone el desarrollo material sobre el territorio de la Estrategia Forestal Española de 1999 que junto con su Plan Forestal Español 2002 2032 se revisará a partir de los nuevos datos existentes sobre el estado de los montes españoles y el sector forestal en su conjunto para poder afrontar los múltiples objetivos de políticas ambientales internacionales y nacionales así como por su papel preponderante en la dinamización económica y social de amplias zonas rurales con graves problemas de despoblación. Las actuaciones contribuyen además a la implementación de las Directrices Básicas de Gestión Forestal Sostenible y las Orientaciones Estratégicas de Gestión de Incendios forestales.
A nivel nacional el acuerdo se aplica a actuaciones por un total de 180 millones encuadrado en las siguientes líneas, de las previstas en el Componente en la Inversión 4 Gestión forestal sostenible y dentro de este componente 4 se incluyen los Planes de soporte técnico a los propietarios y administraciones forestales para la consolidación de la propiedad pública y la redacción de proyectos de ordenación o planes de gestión y sus revisiones .
En consecuencia ambas partes convienen que la subvención se destinará a financiar las actividades para la promoción de la certificación forestal PEFC así como la implementación de un sistema de certificación PEFC para la certificación forestal en dehesas de pequeño tamaño en el marco de los Fondos de Recuperación y Resiliencia (MRR) de los NEXT GENERATION dentro del proyecto de planificación de dehesas de pequeño tamaño, por adhesión a modelos de gestión forestal y su certificación forestal sostenible durante las anualidades 2023, 2024, 2025 y 2026.
Segunda. Periodo de ejecución de las actuaciones subvencionables.
Las actuaciones previstas en el presente convenio se extenderán desde la firma del convenio hasta el 30 de Noviembre de 2025, quedando en dicha fecha resuelto a todos los efectos.
Por lo que respecta a los abonos, éstas deberán realizarse durante las anualidades 2023, 2024 y 2025.
Tercera. Cuantía y crédito presupuestario y financiación.
La cuantía máxima de la subvención será de noventa y ocho mil quinientos once euros con treinta y seis céntimos (98.511,36 €), de carácter plurianual de acuerdo a las anualidades máximas establecidas en los documentos de fiscalización previa, imputándose 37.665,02 € para la anualidad 2023, 27.553,19 € en la anualidad 2024, y 33.293,15 € para la anualidad 2025, en la aplicación presupuestaria 12005 G/354C48000 MR02C04I04, proyecto 20210466, Gestión forestal sostenible: planificación dehesas , de los presupuestos de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio.
Las actuaciones contenidas en presente convenio se financiarán en su totalidad con Fondos de la Unión Europea-Next Generation EU por el Mecanismo de Recuperación y Resiliencia de la Unión Europea, establecido en el Reglamento (UE) 2020/241, del Parlamento Europeo y del Consejo, de 12 de febrero de 2021.
Los importes por año según los abonos de las actividades son:
ANUALIDAD APLICACIÓN PRESUPUESTARIA PROYECTO IMPORTE (€)
2023 12005 G/354C48000 MR02C04I04 20210466 37.665,02 €
2024 12005 G/354C48000 MR02C04I04 20210466 27.553,19 €
2025 12005 G/354C48000 MR02C04I04 20210466 33.293,15 €
TOTAL 98.511,36 €
Cuarta. Régimen jurídico aplicable.
Esta subvención se regirá, además de por lo dispuesto en este convenio, por la Ley 38/2003, de 17 de noviembre, General de Subvenciones, y por el Reglamento de la citada Ley, aprobado por Real Decreto 887/2006, de 21 de julio, y por la Ley 6/2011, de 23 de marzo, de Subvenciones de la Comunidad Autónoma de Extremadura, así como por lo establecido en las demás normas de derecho administrativo que resulten de aplicación.
Se regirá, igualmente, este convenio por la siguiente normativa relativa a los fondos europeos derivada del Mecanismo y todo aquella complementaria que la desarrolle:
— Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia.
— Plan de Recuperación, Transformación y Resiliencia del Estado español, aprobado por Acuerdo del Consejo de Ministros de 27 de abril de 2021, así como mediante la Decisión de Ejecución del Consejo Europeo relativa a la aprobación de la evaluación por parte de la Comisión Europea del PRTR en 2021.
— Real Decreto-ley 36/2020, de 30 de diciembre, por el que se aprueban medidas urgentes para la modernización de la Administración Pública y para la ejecución del Plan de Recuperación, Transformación y Resiliencia (BOE n.º 341, de 31 de diciembre de 2020). - Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia (BOE de 30 de septiembre).
— Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia (BOE de 30 de septiembre).
— Orden HFP/55/2023, de 24 de enero, relativa al análisis sistemático del riesgo de conflicto de interés en los procedimientos que ejecutan el Plan de Recuperación, Transformación y Resiliencia.
— Resolución 1/2022, de 12 de abril, de la Secretaría General de Fondos Europeos, por la que se establecen instrucciones a fin de clarificar la condición de entidad ejecutora, la designación de órganos responsables de medidas y órganos gestores de proyectos y subproyectos, en el marco del sistema de gestión del PRTR.
Quinta. Subcontratación.
El beneficiario únicamente podrá subcontratar, total o parcialmente, las actuaciones reflejadas en el Anexo I. La actividad subvencionada que el beneficiario subcontrate con terceros no excederá en todo caso del 25 % del importe total.
Sexta. Compatibilidad o incompatibilidad con otras subvenciones, ayudas, ingresos o recursos para la misma finalidad.
De conformidad con el artículo 18.2 de la Ley 6/2011, esta subvención es compatible con otras subvenciones, ayudas, ingresos o recursos para la misma finalidad, procedentes de cualesquiera Administraciones o entes públicos o privados, nacionales, de la Unión Europea o de organismos internacionales. No obstante, conforme al artículo 18.3, el importe de la subvención concedida en ningún caso podrá ser de tal cuantía que, aisladamente o en concurrencia con otras subvenciones, ayudas, ingresos o recursos, supere el coste de la actividad subvencionada.
A tal efecto, cuando las actividades hayan sido financiadas, además de con esta subvención, con otras subvenciones, el beneficiario se compromete a acreditar en la justificación de acuerdo con la cláusula sexta el importe, procedencia y aplicación de tales fondos a las actividades subvencionadas.
Séptima. Plazos y modos de pago de la subvención.
La cuantía concedida al beneficiario será de 98.511,36 € que se abonará, a partir de la suscripción del convenio, previa justificación de inicio de los trabajos, mediante certificaciones semestrales, una vez certifique el director técnico nombrado por la Consejería que los gastos y trabajos correspondientes a este semestre han finalizado, se han ejecutado conforme al convenio y están justificados los gastos y pagos relativos al mismo por parte de PEFC España.
Los abonos se realizarán una vez justificados los mismos, de acuerdo a las siguientes anualidades:
1 sem. 2023 2 sem 2023 1 sem. 2024 2 sem 2024 1 sem. 2025 2 sem 2025
2.376,63 € 35.288,39 € 13.776,60 € 13.776,60 € 11.205,55 € 22.087,60 €
Octava. Régimen de justificación de la subvención percibida.
En virtud de la habilitación establecida en la Disposición final primera de la Ley 6/2011, de 23 de marzo, de Subvenciones de la Comunidad Autónoma de Extremadura, y al efecto que la Asociación pueda justificar la subvención concedida por la C.A. de Extremadura, la cuenta justificativa se podrá realizar, y de conformidad con la Disposición Adicional Novena del Real Decreto 887/2006, de 21 de julio, por el que se aprueba el Reglamento de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, a través de un certificado emitido por el titular del órgano que ha percibido la subvención en el que se acredite la realización de la actividad y el cumplimiento de la finalidad de la subvención, así como del informe emitido por la Intervención u órgano de control equivalente de la organización PEFC España , que acredite la veracidad y la regularidad de la documentación justificativa de la subvención, que deberá remitir al órgano instructor.
A tal efecto ambas partes convienen que la justificación se efectuará mediante certificación emitida por el responsable a tal efecto de la organización PEFC España en la que se haga constar la acción realizada y su coste, así como que se refieren a pagos previstos en el convenio efectivamente realizados, y debidamente acreditados.
Así mismo, será necesaria justificación completa de los gastos mediante facturas o documentos contables de valor probatorio equivalente por las actuaciones llevadas a cabo durante el plazo de ejecución señalado en la Cláusula segunda del presente convenio, junto con el pago de los mismos.
Las certificaciones emitidas por la organización PEFC España que conlleven la justificación de gastos y pagos, además deberán soportarse aportando para cada uno de los contratos y/o gastos realizados correspondientes a las actuaciones objeto del presente convenio descritos en el Anexo I.
En todo caso, el órgano concedente, solo abonará al beneficiario lo convenientemente justificado, por lo que su aportación final será inferior a la máxima estipulada en el supuesto de que se justifiquen gastos por un importe inferior.
El trabajo se justificará cumpliendo las especificaciones señaladas con la entrega de un informe final en la fecha de finalización del convenio, y a su vez de informes semestrales que describa las actuaciones realmente llevadas a cabo en cada uno de estos periodos.
La justificación de los gastos anteriormente referidos, se realizará en el plazo de un mes tras la finalización de cada semestre.
Novena. Gastos subvencionables.
Se considerarán gastos subvencionables, los que, siendo correctamente justificados de conformidad con la normativa en materia de subvenciones, son necesarios y responden de manera indubitada a la naturaleza y al normal desarrollo del proyecto o actividad durante el plazo de ejecución previsto. No se admitirán costes de adquisición de gastos subvencionables que sean superiores al valor del mercado.
Los contratos celebrados por la organización PEFC España con terceros en ejecución de las actuaciones financiadas con cargo al presente convenio serán de su exclusiva responsabilidad, realizándose a su riesgo y ventura.
Asimismo, el personal que se contrate por parte de la organización PEFC España, para la ejecución del presente convenio no tendrá relación laboral alguna con la Junta de Extremadura.
Décima. Obligaciones del beneficiario.
El beneficiario quedará obligado, además de las recogidas en la normativa vigente en materia de subvenciones, a:
1. Realizar antes del 30 de Noviembre de 2025 las actividades para la que se ha concedido la subvención.
2. A llevar un sistema de contabilidad separado o un código contable adecuado para todas las transacciones relativas a la operación, la presentación de los datos a la autoridad de gestión y al registro de las realizaciones y resultado de las operaciones.
3. Indicar en los folletos, carteles y demás documentación y material que pudiera utilizarse en el desarrollo de la actividad subvencionada que ésta se realiza con el auxilio de la C.A. de Extremadura, y a través del fondo MMR de conformidad con el artículo 34 del Reglamento Europeo 2021/241 del Parlamento Europeo y del Consejo, por el que se establece el Mecanismo de Recuperación y Resiliencia, que recoge que los perceptores de fondos de la Unión harán mención del origen de esta financiación y velarán por darle visibilidad , incluido, cuando proceda, mediante el uso del emblema de la Unión y una declaración de financiación adecuada que indique “financiado por la Unión Europea NextGenerationEU y en el artículo 9 de la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia, que recoge la necesidad de incorporar el logo oficial del Plan de Recuperación del Reino de España en las iniciativas de comunicación y divulgación de las actuaciones financiadas con cargo al MRR: “Las actuaciones de comunicación relacionadas con la ejecución del Plan incorporarán el logo oficial del Plan de Recuperación, Transformación y Resiliencia del Reino de España, en los términos que se comuniquen por la Autoridad Responsable”.
4. Comunicar a la Consejería de Agricultura, Desarrollo Rural, Población y Territorio o al organismo público competente la concesión de subvenciones de cualquier ente público o privado para la misma finalidad.
5. Someterse a la normativa sobre supervisión, seguimiento y control de la subvención, así como facilitar toda la información requerida por el órgano concedente de la misma y de los restantes órganos competentes, tanto nacionales como comunitarios, así como conservar la documentación justificativa de los gastos financiados y su puesta a disposición de la Comisión durante al menos los 3 años siguientes a aquel en que el Organismo Pagador realice el pago final.
6. Cumplimiento de la normativa al riesgo de conflicto de interés, en particular a la Orden HFP/55/2023, de 24 de enero, relativa al análisis sistemático del riesgo de conflicto de interés en los procedimientos que ejecutan el Plan de Recuperación, Transformación y Resiliencia.
Undécima. Incumplimientos y reintegros.
Se exigirá el reintegro de la subvención con el interés de demora correspondiente desde el momento del pago de la subvención, en los casos y en los términos previstos en los artículos 42 a 49 de la Ley 6/2011, de 23 de marzo, de Subvenciones de la Comunidad Autónoma de Extremadura, sin perjuicio de la aplicación de lo dispuesto en el artículo 41 de la misma.
A los efectos previstos en el apartado anterior, se considerará incumplimiento total y en consecuencia, procederá el reintegro total de la subvención cuando el importe total justificado de los gastos y pagos realizados sea igual o inferior al 50%, aplicándose criterios de proporcionalidad en el reintegro en caso de incumplimientos parciales.
Duodécima. Información y publicidad.
Conforme al artículo 34.2 del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia, PEFC España hará mención del origen de esta financiación y velará por darle visibilidad, mediante el emblema de la Unión y una declaración de financiación adecuada que indique financiado por la Unión Europea - NextGenerationEU .
Será igualmente preceptivo cumplir con las obligaciones de comunicaciones vinculadas con el Plan de Recuperación, Transformación y Resiliencia (PRTR) y los fondos europeos que el Gobierno de España ha publicado en la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia (artículo 9).
Por lo tanto PEFC España deberá cumplir con las siguientes obligaciones en materia de publicidad:
a) Las relativas a la financiación del Mecanismo, conforme con la normativa europea y nacional aplicable y, específicamente, con las del artículo 9 de la Orden HFP/1030/2021, de 29 de septiembre.
b) En las medidas de información y comunicación de las actuaciones que desarrollan las inversiones (carteles informativos, placas, publicaciones impresas y electrónicas, material audiovisual, páginas web, anuncios e inserciones en prensa, certificados, etc.), se deberán incluir los siguientes logos:
1º. El emblema de la Unión Europea,
2º. Junto a este emblema de la Unión se incluirá el texto Financiado por la Unión Europea-Next GenerationUE . Esta publicidad se realizará de conformidad con lo establecido en el Manual de Marca del Plan de Recuperación, Transformación y Resiliencia confeccionado por la Secretaría de Estado de Comunicación.
3º El emblema de Ministerio de Transición Ecológica y el Reto Demográfico y la Consejería de Agricultura, Desarrollo Rural Políticas Agrarias y Territorio de la Junta de Extremadura.
c) En su caso, todos los carteles informativos y placas deberán colocarse en un lugar bien visible y de acceso al público, y el texto deberá estar redactado en castellano.
d) Las actuaciones estarán sometidas al seguimiento y control que se ha establecido para el PRTR, así como a las obligaciones específicas relativas a la información y publicidad, control, verificación, seguimiento y demás obligaciones impuestas por la normativa estatal, autonómica y de la Unión Europea para el Mecanismo y cuya aplicación será de obligado cumplimiento, como se ha señalado en los puntos 1 y 2.
Décimotercera. Obligaciones de PEFC en cumplimiento de los principios aplicables al PRPT.
En cumplimiento de la Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia, el beneficiario deberá cumplir los principios aplicables al PRPT, entre los que se encuentran:
1. Aceptación de la cesión de datos entre las Administraciones Públicas implicadas para dar cumplimiento a lo previsto en la normativa europea que es de aplicación y de conformidad con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, conforme al modelo B del Anexo IV de la Orden HFP/1030/2021. ( Modelo anexo IV.A), así como lo estipulado en la Orden HFP/55/2023, de 24 de enero, relativa al análisis sistemático del riesgo de conflicto de interés en los procedimientos que ejecutan el Plan de Recuperación, Transformación y Resiliencia.
2. Declaración de que no se encuentra/n incurso/s en ninguna situación que pueda calificarse de conflicto de intereses de las indicadas en el artículo 61.3 del Reglamento Financiero de la UE y que no concurre en su/s persona/s ninguna causa de abstención del artículo 23.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público que pueda afectar al procedimiento de concesión.
3. Aceptación de la cesión de datos entre las Administraciones Públicas implicadas para dar cumplimiento a lo previsto en la normativa europea que es de aplicación y de conformidad con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Modelo anexo IV.B).
4. Declaración responsable relativa al compromiso de cumplimiento de los principios transversales establecidos en el PRTR y que pudieran afectar al ámbito objeto de gestión, conforme al modelo C del Anexo IV de la Orden HFP/1030/2021.
5. Inscripción de la subvención en el Censo de empresarios, profesionales y retenedores de la Agencia Estatal de la Administración Tributaria que debe reflejar la actividad efectivamente desarrollada en la fecha de participación en el procedimiento de concesión .
Y para que conste, y en prueba de conformidad con cuanto antecede, se firma el presente convenio por triplicado ejemplar y a un solo efecto, en el lugar y fecha citados al principio de este documento, rubricando cada una de las páginas de las que consta.
PD, (Resolución 6 Agosto de 2019 de la Secretaría General,DOE n.º 154 de 9 de agosto de 2019),
El Director General de Política Forestal.
Pedro Muñoz Barco
La Secretaria General de PEFC España,
Ana Belén Noriega Bravo
ANEXO I
ACTUACIONES SUBVENCIONABLES
A continuación, se detallan las actividades subvencionables para la incorporación en el convenio entre PEFC España y la Consejería de Agricultura, Desarrollo Rural, Población y Territorio de la Junta de Extremadura para el impulso de la regeneración y densificación de las dehesas extremeñas a través de la certificación forestal PEFC.
A. Formación técnica en certificación forestal PEFC.
Fechas de inicio y fin.
— Inicio a la firma del convenio.
— Fin: primer semestre 2023.
Descripción actividad.
Esta actividad consiste en el desarrollo de un plan formativo dirigido al personal técnico, a técnicos coordinadores, y de personal de campo de PEFC España adscritos a este convenio. El objetivo de esta actividad es acercar la certificación PEFC a la propiedad forestal y formar a los profesionales en la materia para su implantación sobre el terreno para este caso particular de implantación de los estándares de PEFC a unos modelos de gestión forestal.
1 formación inicial introductoria general (2 horas).
— Formación inicial introductoria general.
— Formación dirigida a los coordinadores, personal técnico, y personal de campo de PEFC España adscritos a este convenio que van a ser los encargados de implementar los nuevos estándares PEFC de certificación de los modelos de gestión de dehesas.
El presupuesto estimado para la primera anualidad de 2023 es de 2.376,63 €, con el siguiente desglose:
FORMACION TECNICA EN CERTIFICACION FORESTAL PEFC
B. Capacitación de un técnico experto en certificación PEFC.
Fechas de inicio y fin.
— 2º semestre 2023.
— Fin diciembre 2023.
Descripción actividad.
Esta actividad consiste en que el personal de PEFC España asesore al personal técnico asignado al desarrollo de las actuaciones del proyecto en materia de certificación de la gestión forestal y de la cadena de custodia PEFC.
Se estima un asesoramiento de 7 días al mes de personal experto de PEFC España, que incluye la resolución de cuestiones y dudas que pudieran surgir durante el proceso de aprendizaje.
El presupuesto estimado para esta actividad para la primera anualidad es de 7.735,20 € con el siguiente desglose:
C. Certificación PEFC de grupos de dehesas de pequeña propiedad.
Fechas de inicio y fin.
— 2º semestre 2023.
— Diciembre de 2024.
CAPACITACION DE UN TECNIVO EXPERTO EN CERTIFICACION PEFC
Descripción actividad.
C-1. Asesoramiento para la implantación de la certificación PEFC en grupos de certificación forestal en dehesas.
Se identificarán las diferentes modalidades y estructuras de grupos posibles, así como la viabilidad de incorporación de contratistas forestales en los grupos y la incorporación de la figura de gestor de recursos.
Se incorporará la certificación de Productos Forestales no Maderables y la evaluación de los servicios del ecosistema, entre ellos con especial atención la fijación del carbono forestal y la biodiversidad, teniendo en consideración la evolución del regenerado.
Se asesorará sobre el proceso de implementación del modelo/s de grupo/s seleccionados.
C-2. Auditoría de certificación.
Se realizará un asesoramiento sobre localización de las entidades de certificación que operan a nivel nacional, contactos con diferentes entidades de certificación, solicitud de presupuestos, análisis de propuestas, realización de preauditoria en caso de ser necesario y realización de auditoría de certificación.
El presupuesto estimado para esta acción es de 29.647.36 €; con el siguiente desglose;
CERTIFICACION ÈFC DE GRUPOS DE PEQUEÑA PROPIEDAD
D. Aplicación de los estandares nacionales de gestión forestal PEFC a modelos de gestión de dehesas.
Fechas de inicio y fin.
— 2º semestre 2023.
— Diciembre de 2024.
Descripción actividad.
Se analizará y aplicarán los estándares de certificación a los modelos de gestión forestal de dehesas PEFC tanto para los modelos de terrenos adehesados como para los modelos de forestaciones establecidos en el Anexo V del Decreto de 21 de septiembre, por el que se aprueban las instrucciones de ordenación y aprovechamiento de montes, y se regulan el procedimiento de aprobación de los instrumentos de planificación y gestión forestal de Extremadura, y el Registro de Montes Ordenados de Extremadura. Se aplicará a un caso práctico en una dehesa declarada de utilidad pública gestionada por la Junta de Extremadura.
El presupuesto estimado para esta acción es de 25.459,02 €; con el siguiente desglose:
ADAPTACION DE ESTANDARES PEFC A MODELOS DE GESTION DE DEHESAS
E. Formación en marketing y comercialización de productos forestales.
Fechas de inicio y fin.
— Enero de 2025.
— Junio de 2025.
Descripción actividad.
E-1. Formación en estrategias de marketing.
Esta actividad consiste en concienciar a productores, transformadores, distribuidores y a profesionales del sector forestal en Extremadura de la importancia de adquirir productos de dehesas gestionadas sosteniblemente (madera, carbón, corcho, ibérico, aromáticas, miel, etc.) y garantizar su trazabilidad hasta los mercados.
Aparte de lo anterior se divulgarán las ventajas competitivas que puede tener, para cada producto individual, sumarse a una marca paraguas que trasmita una gestión responsable del territorio.
Se realizarán además cursos para empresas de la cadena de valor de los productos procedentes de las dehesas de Extremadura: cadena de custodia, marketing, estrategias de mercado.
E-2. Sensibilización.
Se llevarán a cabo tareas de sensibilización a los propietarios forestales y a las entidades integrantes en la gestión sostenible de sus dehesas, en el aprovechamiento de sus recursos forestales madereros y no madereros y en la puesta en valor de los mismos a través de la certificación forestal.
Además, se realizará una campaña de motivación dirigida a propietarios forestales para la conservación y puesta en valor de su dehesa, y reuniones de sensibilización y formación con propietarios, ayuntamientos y con entidades locales.
Diseño de materiales divulgativos: Folleto específico y carteles.
El presupuesto estimado para esta acción es de 11.205,55 €; de enero a Noviembre de 2025 con el siguiente desglose:
F. Divulgación y comunicación de resultados para el personal de PEFC españa.
Fechas de inicio y fin.
— Julio de 2025.
— Noviembre de 2025.
Descripción actividad.
PEFC España divulgará todas los resultados previstos entre todo el personal de PEFC, con el objeto de comunicar y difundir este tipo de certificación PEFC aplicada a un modelo de gestión forestal, para que de esta forma PEFC España pueda ser puesta en práctica tanto la metodología empleada como los resultados obtenidos en otros territorios tanto en ámbito nacional como internacional.
FORMACION EN MARKETING Y COMERCIALIZACION DE PRODUCTOS FORESTALES
Además, PEFC España España presentará estos resultados en un acto público, cuyo público objetivo será todo el personal de PEFC España
Para poder ofrecer a promotores e inversores la posibilidad de invertir en servicios del ecosistema PEFC, se elaborarán informes ejecutivos de cada certificado y se trabajará conjuntamente en el desarrollo de un plan de negocio.
El presupuesto estimado para esta acción es de 22.087,60 €; de enero a noviembre de 2025 con el siguiente desglose:
Resumen del presupuesto.
Asciende el presupuesto total del convenio a la cantidad de noventa y ocho mil quinientos once euros con treinta y seis céntimos (98.511,36 €), de acuerdo con el siguiente desglose:
ACTIVIDAD IMPORTE (€)
1. FORMACIÓN TÉCNICA EN CERTIFICACIÓN FORESTAL PEFC 2.376,63
2. CAPACITACIÓN DE UN TÉCNICO EXPERTO EN CERTIFICACIÓN PEFC 7.735,20
3. CERTIFICACIÓN PEFC DE GRUPOS DE PEQUEÑA PROPIEDAD 29.647,36
4. ADAPTACIÓN DE ESTÁNDARES PEFC A MODELOS DE GESTIÓN DE DEHESAS 25.459,02
5. FORMACIÓN EN MARKETING Y COMERCIALIZACIÓN DE PRODUCTOS FORESTALES 11.205,55
6. DIVULGACIÓN Y COMUNICACIÓN DE RESULTADOS PARA PERSONAL PEFC 22.087,60
TOTAL ………………………… 98.511,36
Los abonos del convenio por semestre serán los establecidos en la siguiente tabla:
ACCIONES/ANUALIDAD 1 sem.2023 2 sem2023 1 sem.2024 2 sem2024 1 sem.2025 2 sem2025
A) FORMACIÓN TÉCNICA EN CERTIFICACIÓN FORESTAL PEFC 2.376,63 €
B) CAPACITACIÓN DE UN TÉCNICO EXPERTO EN CERTIFICACIÓN PEFC 7.735,2 €
C) CERTIFICACIÓN PEFC DE GRUPOS DE PEQUEÑA PROPIEDAD 14.823,68 € 7.411,84 € 7.411,84 €
D) ADAPTACIÓN DE ESTÁNDARES PEFC A MODELOS DE GESTIÓN DE DEHESAS 12.729,51 € 6.364,76 € 6.364,76 €
E) FORMACIÓN EN MARKETING Y COMERCIALIZACIÓN DE PRODUCTOS FORESTALES 11.205,55 €
F) DIVULGACIÓN Y COMUNICACIÓN DE RESULTADOS 22.087,60 €
ANEXO II
COMPROMISO DE CUMPLIMIENTO DE LAS CLÁUSULAS RELATIVAS A SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES
Primero. Requisitos de seguridad de la información en los equipos informáticos.
La Consejería de Agricultura, Desarrollo Rural, Población y Territorio es la Responsable del tratamiento con las funciones, derechos y obligaciones que le son propias (en adelante Responsable).
La otra Administración Pública, organismo o entidad de derecho público o privado firmante del convenio que acceda a datos de carácter personal que resulten necesarios para el cumplimiento del mismo, por cuenta del responsable del tratamiento, asume las responsabilidad establecidas en el Reglamento (UE) 2016/679, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, y en sus normas de desarrollo, en su condición de Encargado del tratamiento (en adelante Encargado) (artículo 28 del RGPD).
Los equipos informáticos utilizados por el personal del encargado, y que serán proporcionados por ésta para el cumplimiento del objeto del convenio, deben estar actualizados y optimizados a las actividades del perfil correspondiente para la satisfacción del citado convenio.
Estos equipos informáticos estarán sometidos a las políticas y normativas establecidas en la Junta de Extremadura, por parte de la Dirección General de Tecnologías de la Información y Comunicación (DGTIC) y la Consejería de Agricultura, Desarrollo Rural, Población y Territorio, según corresponda.
Las licencias de software necesarias para la realización del convenio, serán propiedad del encargado, no permitiéndose la instalación de licencias nominales, propiedad de la Junta de Extremadura, en los equipos propiedad del encargado del tratamiento.
Por tanto, deben cumplirse las siguientes condiciones en los equipos informáticos aportados por el encargado del tratamiento.
— Sistema operativo: El Sistema Operativo tiene que estar licenciado y actualizado con los parches de seguridad. El sistema operativo será el necesario para poder realizar los trabajos que constituyen el objeto del convenio.
— Sistema de protección antivirus: el encargado debe proporcionar su propio software antivirus y debe mantenerse actualizado.
— Soporte y actualización de los equipos informáticos: será llevado a cabo por parte del encargado.
Cuando los equipos informáticos estén conectados a la red corporativa de la Junta de Extremadura:
— Dichos equipos contarán con las mismas medidas de seguridad establecidas para el resto de equipos de la Junta de Extremadura.
— Los equipos serán inventariados en el inventario de la Junta de Extremadura.
— Los usuarios no tendrán permisos de administrador en dichos equipos, salvo excepciones debidamente justificadas y registradas por parte de la DGTIC y autorizadas por el Responsable de Seguridad de la Información del Organismo Pagador.
— La Junta de Extremadura puede requerir la instalación de software en los equipos del encargado, como por ejemplo OCS Inventory.
Segundo. Confidencialidad de la información.
El encargado del tratamiento vendrá obligado a guardar la más estricta confidencialidad sobre el contenido del convenio, así como sobre los datos o información a la que pueda tener acceso como consecuencia de la ejecución del mismo, y a usar dicha información a los exclusivos fines de la ejecución del convenio y conforme a la Política de Seguridad del responsable en los términos en que resulte aplicable. Esta obligación se mantendrá incluso después de la finalización del convenio.
El deber de confidencialidad sobre la información del responsable será extensible a todo el personal del encargado o colaborador que participe en la ejecución del convenio.
Todo el personal del encargado protegerá, en la medida de sus posibilidades, la información propiedad del responsable y los sistemas de información a los que tenga acceso con el fin de evitar revelación, alteración o uso indebido de la información.
El acceso y posesión de información del responsable por parte del encargado es estrictamente temporal y vinculado a la ejecución del convenio, sin que ello confiera derecho alguno de posesión, de titularidad de copia o de transmisión sobre dicha información.
El encargado, una vez finalizadas las tareas que han originado el acceso a la información, deberá devolver los soportes y documentación que pudiera habérsele facilitado.
El encargado no puede transmitir, enviar, compartir o poner a disposición de otras entidades información propiedad del responsable, a no ser que de manera previa haya sido expresamente autorizado para hacerlo, independientemente del medio o formato de la información y de su contenido.
Tercero. Datos de carácter personal.
A) Base Normativa.
Las partes que suscriben el convenio quedan obligadas al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (En adelante RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como su normativa de desarrollo.
B) Obligaciones derivadas del convenio.
B.1) Obligaciones derivadas del convenio.
El Encargado y todo el personal bajo su control se obliga a:
a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del convenio En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo con las instrucciones documentadas del Responsable. Inclusive con respecto a las transferencias internacionales de datos, si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
c. Llevar, por escrito, salvo que pueda acogerse a alguna de las excepciones del artículo 30.5 del RGPD, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga, conforme al artículo 30.2 del RGPD:
1. El nombre y los datos de contacto del Encargado y de cada responsable por cuenta del cual actúe el Encargado.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando al tratamiento de los datos.
d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable, en los supuestos legalmente admisibles.
e. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente convenio, incluso después de que finalice el mismo.
f. Garantizar que las personas autorizadas para tratar datos personales se comprometan de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que el encargado les informará convenientemente. El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de esta obligación.
g. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
h. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el Encargado, éste debe comunicarlo por correo electrónico a la dirección que indique el Responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
i. Notificación de violaciones de la seguridad de los datos. El encargado notificará al Responsable, sin dilación indebida y a través de la dirección de correo electrónico que le indique el Responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Se facilitará, como mínimo, la información siguiente:
— Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
— Datos de la persona de contacto del Encargado para obtener más información.
— Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
— Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
j. El Encargado asistirá al Responsable con toda la información de la que disponga, a realizar la comunicación de las violaciones de la seguridad a los interesados, cuando sea probable que dicha violación suponga un alto riesgo para sus derechos y libertades.
k. El Encargado, a petición del Responsable, comunicará en el menor tiempo posible, con toda la información de la que disponga, la violación de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el Responsable y, como mínimo:
— La naturaleza de la violación de datos.
— Indicación de contacto del Responsable o del Encargado donde se pueda obtener más información.
— Posibles consecuencias de la violación de la seguridad de los datos personales.
— Medidas adoptadas o propuestas por el Responsable para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
l. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él.
m. Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Las medidas de seguridad mínimas se recogen en el apartado Medidas de seguridad mínimas a aplicar por el Encargado.
B.2) Obligaciones del responsable.
Corresponde al Responsable:
— Proporcionar al Encargado los datos necesarios para que pueda cumplir el convenio.
— Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
— Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
C) Medidas de seguridad mínimas a aplicar por el encargado.
C.1) Ámbito de aplicación.
Los ámbitos de aplicación de estas medidas serán:
— Los recursos bajo el control del Encargado (como sistemas informáticos y/o de archivo, centros de trabajo y trabajadores) y que éste destine al tratamiento de los datos.
— Los recursos bajo el control del Responsable cuanto éste haya encomendado al Encargado la seguridad de los mismos.
— Los sistemas de información que el Encargado desarrolle o implante por cuenta del Responsable.
C.2) Medidas organizativas.
Todo el personal al que el Encargado proporcione acceso a los datos personales deberá ser informado de las siguientes medidas organizativas:
1. Deber de confidencialidad y secreto, este deber persiste incluso cuando finalice la relación laboral o de prestación de servicios.
2. Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
3. Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
4. No se desecharán documentos (papel) o soportes electrónicos (cd, pendrives, discos duros, etc.) con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
5. No se comunicarán datos personales o cualquier información personal a terceros, prestando atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
6. Derechos de los titulares de los datos. Se informará a todo el personal del Encargado acerca del procedimiento, si procede, para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los mismos y teniendo en cuenta lo siguiente:
6.1. Los interesados podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito al Responsable, a través de direcciones especificadas.
6.2. Asimismo, podrán ponerse en contacto con los respectivos delegados de protección de datos en la dirección dpd@juntaex.es, o presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente.
6.3. La obligación de atender estos derechos corresponde al Responsable.
6.4. Si la petición la recibe el Encargado, en relación a los tratamientos por cuenta del Responsable, éste tiene la obligación de comunicarle dicha solicitud en un periodo inferior a 24 horas, acompañándola de la información pertinente de la que disponga.
6.5. El Responsable identificará las acciones que deben realizarse en base a la petición de los interesados, que serán comunicadas al Encargado.
a. Para el derecho de acceso se procederá a facilitar al Responsable los datos de los interesados que obren en su poder.
b. Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
c. Para el derecho de supresión se suprimirán los datos de los interesados cuando estos manifiesten su negativa u oposición para el tratamiento de los mismos y no exista base legal que lo impida.
6.6. Violaciones de seguridad de datos de carácter personal. Cuando se produzcan violaciones de seguridad de datos de carácter personal, como, por ejemplo, el robo o acceso indebido a los mismos se notificará al Responsable de forma inmediata acerca de tal circunstancia, incluyendo toda la información necesaria para el esclarecimiento de los hechos. Asimismo, se apoyará al Responsable para realizar la notificación de la violación de la seguridad a la Agencia Española de Protección de Datos teniendo en cuenta la información a disposición del Encargado.
6.7. El ejercicio de derechos requerirá la previa presentación por parte del interesado de copia de su DNI o documento identificativo.
6.8. No obstante el Encargado tiene la obligación de informar a cualquier interesado de las siguientes circunstancias:
a. Lista de tipologías de datos personales tratados.
b. Finalidad para la que han sido recogidos.
c. Identidad de los destinatarios de los datos.
d. Plazo de conservación de los datos.
e. Identidad del Responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento.
f. Datos de contacto del Delegado de Protección de Datos.
C.3) Medidas de seguridad técnicas para la identificación.
El Encargado implantará como mínimo las siguientes medidas técnicas para garantizar la identificación y autenticación de los usuarios con acceso a los datos:
1. No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
2. Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
3. Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá los menos 8 caracteres, mezcla de números y letras, caracteres especiales, etc. y se renovarán periódicamente.
4. Cuando a los datos personales accedan distintas personas, para cada una de ellas, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
5. Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
C.4) Medidas de seguridad técnicas para salvaguardar los datos.
A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:
1. Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados.
2. Malware. En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida de lo posible el robo y destrucción de la información y tales datos personales. El sistema de antivirus deberá estar actualizado permanentemente y gestionado de forma central.
3. Cortafuegos. Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un cortafuego activado en aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de los mismos.
4. Cifrado de datos. Cuando se precise utilizar datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar su confidencialidad.
5. Copia de seguridad. Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en un lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
C.5) Verificación, evaluación y valoración periódica de las medidas de seguridad.
El Encargado implantará un procedimiento periódico que le permita verificar, evaluar y valorar, la eficacia de las medidas técnicas y organizativas implantadas en los sistemas de tratamiento, centros de trabajo y usuarios bajo su control.
De ese procedimiento periódico se derivarán la implantación de mecanismos adicionales para:
— Garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.
— Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
— Seudonimizar y cifrar los datos personales, en su caso.
Las medidas de seguridad abarcarán la protección de los sistemas de información así como de los sistemas de tratamiento manual y el archivo de la documentación.
La revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.
C.6) Medidas de seguridad.
El Encargado dispondrá en todo momento de información actualizada sobre las medidas de seguridad aplicadas y deberá proporcionarlas al Responsable cuando éste las solicite y en todo caso siempre que haya cambios relevantes en su arquitectura de seguridad de la información.
D) Propiedad industrial e intelectual.
Sin perjuicio de lo dispuesto en la legislación vigente, el encargado del tratamiento acepta expresamente que la propiedad de la documentación y los trabajos realizados al amparo del presente convenio, y durante el período de garantía y mantenimiento, corresponde únicamente a la Junta de Extremadura, con exclusividad y sin más limitaciones que las impuestas por el ordenamiento jurídico.
Sin perjuicio de lo dispuesto por la legislación vigente en materia de propiedad intelectual y de protección jurídica de los programas de ordenador, el encargado acepta expresamente que los derechos de explotación y la propiedad del código fuente de las aplicaciones desarrolladas al amparo del presente convenio corresponden únicamente a la Junta de Extremadura, con exclusividad y a todos los efectos.
El encargado del tratamiento acepta expresamente que los derechos de propiedad sobre los soportes materiales a los que se incorporen los trabajos realizados, en cumplimiento de las obligaciones derivadas del convenio, corresponden a la Junta de Extremadura.
El encargado del tratamiento exonerará a la Junta de Extremadura de cualquier tipo de responsabilidad frente a terceros por reclamaciones de cualquier índole dimanante de los suministros, materiales, procedimientos y medios utilizados para la ejecución del convenio procedente de los titulares de derechos de propiedad industrial e intelectual sobre ellos.
Si fuera necesario, el encargado del tratamiento estará obligado, antes de la firma del convenio, a obtener las licencias y autorizaciones precisas que le legitimen para la ejecución del mismo.
En caso de acciones dirigidas contra la Junta de Extremadura por terceros titulares de derechos sobre los medios utilizados por el encargado del tratamiento para la ejecución del convenio, éste responderá ante la Junta de Extremadura del resultado de dichas acciones, estando obligado, además, a prestarle su plena ayuda en el ejercicio de las acciones que competan a la Junta de Extremadura.
El encargado del tratamiento no podrá hacer uso del nombre, marca o logotipo que le haya facilitado la Junta de Extremadura para el cumplimiento de sus obligaciones dimanantes del presente convenio, fuera de las circunstancias y para los fines expresamente pactados en éste, ni una vez terminada la vigencia del mismo.
E) Devolución de activos.
Para el supuesto de que el cumplimiento del convenio conlleve la entrega de activos, el Encargado del tratamiento se compromete a la devolución de todos los activos de que haya dispuesto para el cumplimiento del mismo, ya sean software, documentación corporativa, equipos y/o recursos materiales. Así mismo, si el personal del encargado dispone de permisos de acceso a instalaciones o sistemas, estos deben ser devueltos o comunicados para su anulación en el momento de finalización del convenio, respondiendo de su uso una vez finalizado.
El encargado del tratamiento se compromete a entregar a la Junta de Extremadura toda la información y documentación resultante de los trabajos objeto del presente convenio, viniendo obligado, además, a no mantener documentación o almacenar información en locales o equipos ajenos o no autorizados por la Junta de Extremadura, durante o una vez finalizado el plazo de ejecución del convenio.
En los casos en que la Junta de Extremadura lo estime necesario podrá exigir al encargado del tratamiento certificaciones de destrucción de documentos o eliminación de información de los equipos empleados para la realización de objeto del convenio, asimismo, podrá realizar revisiones de las instalaciones y procedimientos empleados por el encargado del tratamiento.
Sin perjuicio de lo dispuesto en la legislación vigente, el incumplimiento de estos compromisos y las consecuencias derivadas de ello serán responsabilidad exclusiva del encargado del tratamiento, que responderá frente a terceros y frente a la Administración de la Junta de Extremadura de los daños y perjuicios que pudieran generarse.
F) Auditoría.
La Junta de Extremadura podrá exigir al encargado del tratamiento cualquier evidencia de cumplimiento con la legislación aplicable, conforme a lo marcado en los acuerdos firmados por ambas partes, así como con los requisitos de seguridad impuestos por parte de la Junta de Extremadura. Para ello la Junta de Extremadura se reserva el ejercicio de los siguientes derechos:
— Revisar o auditar los mecanismos de salvaguarda de la Seguridad de la Información que tenga implementados el encargado del tratamiento y que estén relacionados o implicados con los sistemas utilizados en el convenio.
— Revisar o auditar el cumplimiento por parte del encargado del tratamiento con la legislación aplicable.
— Requerir al encargado del tratamiento los documentos derivados de los procesos de auditoría llevados a cabo por éste, así como cualquier otra evidencia sobre el cumplimiento con el marco legal aplicable y con los requisitos impuestos en el convenio.
— Solicitar la implementación de cualquier mecanismo organizativo, técnico o jurídico que considere adecuado para garantizar la Seguridad de la Información.
Para facilitar el ejercicio de los anteriores derechos por parte de la Junta de Extremadura, el encargado del tratamiento se compromete a facilitar y participar activamente en el desarrollo de las actividades anteriormente descritas.
G) Cumplimiento con la política de seguridad de la información de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio.
El Responsable del tratamiento dispone de una Política de Seguridad de la Información, así como de un Marco Normativo para su desarrollo, los cuales establecen los controles de seguridad que se deben aplicar con objeto de garantizar la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información. Es obligación del encargado del tratamiento el conocimiento, cumplimiento e implantación de aquellas medidas de seguridad establecidas en el Marco Normativo que, con base en la naturaleza de los servicios prestados, sea de aplicación. El responsable se reserva el derecho de exigir al encargado la aplicación de las medidas de seguridad adicionales cuando los requisitos de seguridad de la información aplicables al servicio así lo requieran.
El encargado del tratamiento deberá concienciar y formar a su personal en materia de seguridad de la información, y en particular aquellos aspectos de la Política de Seguridad de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio y su Marco Normativo de desarrollo que sean de aplicación en base a la naturaleza de los servicios prestados.
Los trabajadores del encargado, por su parte, deben tener siempre presentes durante el desempeño de sus funciones los principios de la ética, la profesionalidad, la confidencialidad y la responsabilidad.
De forma general, todo el personal del encargado que acceda a información de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio deberá cumplir con las siguientes normas:
— Acceder exclusivamente a los sistemas de información mediante el acceso y los medios autorizados.
— Proteger la confidencialidad de la información de toda revelación no autorizada.
— Proteger la integridad de la información del responsable del tratamiento a la que tenga acceso.
— Proteger la información y los sistemas de información de cualquier alteración no autorizada.
— Todos los empleados del encargado deben hacerse responsables de la custodia personal de las credenciales que tienen asignadas para el acceso a los recursos de los sistemas de información del responsable. Estas credenciales nunca pueden ser facilitadas a terceras personas, sean o no empleados del encargado, y los propietarios de las mismas deben ser únicos responsables del uso que se haga de ellas.
Además, el encargado debe poner en marcha medidas de control para garantizar la supervisión de las actuaciones para sus trabajadores.
H) Prestación de los servicios en las instalaciones de la Consejería de Agricultura, Desarrollo Rural, Población y Territorio.
El personal del encargado del tratamiento que desempeñe sus funciones en las instalaciones del responsable, deberá conocer y cumplir las medidas de seguridad establecidas en el Manual de responsabilidades de Seguridad de la Información para usuarios . Es responsabilidad del encargado del tratamiento la distribución, cuando sea necesario, de este manual entre sus trabajadores.
I) Transmisión de información por parte del encargado a otras entidades.
El encargado del tratamiento no puede transmitir, enviar, compartir o poner a disposición de otras entidades información propiedad del responsable, a no ser que de manera previa haya sido expresamente autorizado para hacerlo, independientemente del medio o formato de la información y de su contenido. En el caso de existir dicha autorización se deberá velar por el cumplimiento de las siguientes normas:
— Deben extenderse al receptor de la información todas las obligaciones del encargado del tratamiento en materia de Seguridad de la Información impuestas por el responsable.
— El encargado del tratamiento será responsable del uso y protección de la información del responsable que le haya sido proporcionada, así como de los perjuicios ocasionados al responsable en los casos en los que la seguridad de la información hubiera sido comprometida.
— Se podrá transmitir única y exclusivamente la información estrictamente necesaria para que el encargado del tratamiento autorizado pueda llevar a cabo su cometido.
— La información sólo podrá ser transmitida a los destinatarios autorizados, que han de estar unívocamente identificados, y por medios que garanticen la identidad del destinatario.
— En la transmisión de la información se deben aplicar mecanismos que imposibiliten el acceso a ella por parte de otras entidades no autorizadas. Igualmente en el almacenamiento de la información en dispositivos portátiles o extraíbles se deben aplicar mecanismos que imposibiliten dichos accesos.
J) Protección del equipamiento informático.
En todo aquel equipamiento informático propiedad del encargado en el cual se almacene, procese o desde el que se acceda a información del responsable, el encargado deberá aplicar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de dicha información. Al menos, el encargado debe aplicar las siguientes medidas de seguridad:
— Protección contra código malicioso: todos los equipos deben contar con programas antivirus y de protección ante software malicioso (malware) actualizados de forma automática y permanente.
— Control de acceso: todos los equipos deben disponer de medidas que aseguren el acceso sólo por parte del personal autorizado.
— Bloqueo de terminales: no deben dejarse los terminales desatendidos sin antes haber bloqueado la sesión de usuario con el fin de evitar accesos no autorizados. El bloqueo automático tras un periodo de inactividad también debe estar activado.
— Actualización de sistemas: todo el equipamiento informático debe estar al día con las últimas actualizaciones y parches de seguridad disponibles.
— Salvaguarda de la información: se han de implementar mecanismos de copia de seguridad y recuperación en aquella información del responsable.
— Privilegios: los usuarios no deben poder deshabilitar o desinstalar las protecciones de seguridad implantadas en los equipos.
El responsable se reserva el derecho de exigir la implantación de las medidas de seguridad adicionales que considere oportunas en el equipamiento informático del encargado.
K) Seguridad en las instalaciones del encargado.
En aquellas instalaciones, donde se almacene o procese información del responsable, el encargado del tratamiento deberá implementar medidas de seguridad física, ambiental y de control de acceso, y todo su personal deberá participar activamente en la implantación y cumplimiento de estas medidas.

Otras Opciones

2024 © Junta de Extremadura. Todos los derechos reservados Icono Normativa ELI Icono Icono RSS RSS Icono Accesibilidad Icono Mapa del sitio Icono Aviso Legal