ACUERDO de 22 de marzo de 2021, de encomienda de
gestión entre el Servicio Madrileño de Salud y la Fundación de Investigación e
Innovación Biomédica de Atención Primaria, en materia de gestión de los fondos
procedentes del Ministerio de Sanidad destinados a los trabajos de la Unidad de
Evaluación de Tecnologías Sanitarias de Madrid, dentro de RedETS (Red Española
de Agencias de Evaluación de Tecnologías Sanitarias y Prestaciones del Sistema
Nacional de Salud). ()
REUNIDOS
De una parte, D. ______,
Viceconsejero de Asistencia Sanitaria y Director General del Servicio Madrileño
de Salud, nombrado mediante Decreto 90/2020, de 7 de octubre, del Consejo de
Gobierno, en su nombre y en representación del Servicio Madrileño de Salud,
actuando en uso de las atribuciones conferidas por el artículo 3 del Decreto
307/2019 de 26 de noviembre, del Consejo de Gobierno, por el que se establece
la estructura orgánica de la Consejería de Sanidad, el artículo 1.2 del Decreto
308/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece
la estructura directiva del Servicio Madrileño de Salud, y el artículo 23.2.a)
del Decreto
24/2008, de 3 de abril, por el que se establece el régimen jurídico y de
funcionamiento del Servicio Madrileño de Salud.
Y de otra parte, don _____,
Presidente del Patronato de la Fundación de Investigación e Innovación Biomédica
de Atención Primaria (en adelante, la Fundación), en representación de la
misma, de acuerdo con lo previsto en el Decreto
53/2015, de 21 de mayo, del Consejo de Gobierno, por el que se autoriza la
constitución de la Fundación para la Investigación e Innovación Biomédica de
Atención Primaria, y en los artículos 14.2.1 y 22 de sus Estatutos
Fundacionales.
EXPONEN
Primero
La Ley 16/2003, de 28
de mayo, de cohesión y calidad del Sistema Nacional de Salud (en adelante,
SNS), establece, en su exposición de motivos, que con su promulgación se busca:
"la
colaboración entre las Administraciones públicas sanitarias con la finalidad de
mejorar el funcionamiento del SNS. La equidad, la calidad y la participación
como objetivos comunes, las actuaciones en los diferentes ámbitos y los
instrumentos para llevarlas a cabo constituyen el núcleo básico del SNS, lo que
proporciona unos derechos comunes a todos los ciudadanos".
La creación de la Red
Española de Evaluación de Tecnologías Sanitarias y Prestaciones del SNS (en
adelante, RedETS) fue aprobada en el Pleno del Consejo Interterritorial del
SNS, celebrado el 29 de febrero de 2012, con el fin de promover la calidad,
eficiencia y sostenibilidad en evaluación de tecnologías sanitarias en el SNS y
está formada por las agencias o unidades de evaluación de la administración
general del estado y de las comunidades autónomas, que trabajan de manera
coordinada, con una metodología común y bajo el principio del reconocimiento
mutuo y la cooperación. Su finalidad es promover la calidad, eficiencia y
sostenibilidad en evaluación de tecnologías sanitarias en el SNS.
Su misión es generar,
difundir y facilitar la implementación de información destinada a fundamentar
la toma de decisiones en el SNS, contribuyendo al incremento de la calidad,
equidad, eficiencia y cohesión en el mismo.
Los principios que
inspiran esta coordinación son los comunes a las unidades y agencias que la
promueven: Seguridad, efectividad, calidad, equidad y eficiencia, que se
manifiestan en:
─ Coherencia con las prioridades del SNS.
─
Solidez y rigor de los distintos trabajos que se elaboren y que se basarán en
el conocimiento científico más actualizado y robusto.
─
Independencia, al carecer de conflictos de intereses que puedan mediatizar su
labor.
─
Transparencia en todo el proceso de priorización, identificación, síntesis y
evaluación crítica del conocimiento científico disponible.
─
Colaboración, como principio articulador, tanto entre disciplinas científicas,
actores y partícipes en el sistema sanitario como, y muy especialmente, entre
las unidades y agencias de evaluación de tecnologías sanitarias.
Mediante Orden
SSI/1833/2013, de 2 de octubre, se crea y regula el Consejo de la Red Española
de Agencias de Evaluación de Tecnologías Sanitarias y Prestaciones del Sistema
Nacional de Salud, con la finalidad de gestionar y coordinar la RedETS, como
órgano colegiado de los previstos en el capítulo IV del título II de la Ley
6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración
General del Estado.
De conformidad con lo
establecido en su artículo 7, la elaboración del Plan Anual de Evaluación de
Tecnologías Sanitarias le corresponde a la Secretaría Técnica de la RedETS, dependiente
del Ministerio de Sanidad, recogiendo las solicitudes de temas a evaluar de las
comunidades autónomas, presentadas a través de la Comisión de Prestaciones,
Aseguramiento y Financiación, y las necesidades de las distintas unidades
ministeriales.
Las ocho agencias que
forman la RedETS son: la Agencia de Evaluación de Tecnologías Sanitarias de
Andalucía (AETSA), la Agencia de Calidad y Evaluación Sanitaria de Cataluña
(AQuAS), Unidad de Asesoramiento Científico-técnico de la Agencia Gallega para
la Gestión del Conocimiento en Salud de Galicia (ACIS-Avalia-t), el Instituto
Aragonés de Ciencias de la Salud (IACS), la Agencia de Evaluación de
Tecnologías Sanitarias del Instituto de Salud Carlos III (AETS-ISCIII), el
Servicio de Evaluación de Tecnologías Sanitarias de Euskadi (Osteba), el
Servicio de Evaluación y Planificación del Servicio Canario de Salud (SESCS) y
la Unidad de Evaluación de Tecnologías Sanitarias de la Comunidad de Madrid
(UETS-M).
La evaluación de
tecnologías es un proceso multidisciplinar que evalúa críticamente la
información disponible y científicamente válida sobre aspectos clínicos,
económicos, legales, organizativos, sociales y éticos relacionados con el uso
de una tecnología. En España, la RedETS del SNS es la entidad responsable de
informar estas decisiones a la Dirección General de Cartera Común del SNS y
Farmacia del Ministerio de Sanidad, al objeto de que se pueda considerar en el
marco de la Comisión de prestaciones, aseguramiento y financiación (CPAF) la
inclusión, exclusión y/o modificación de las condiciones de uso de la
tecnología en evaluación en dicha Cartera.
El Plan de Trabajo
2020 fue acordado el 10 de marzo de 2020 en el Pleno del Consejo de la RedETS.
En este marco, el
Servicio Madrileño de Salud ha desarrollado, durante el ejercicio 2020,
actividades susceptibles de recibir fondos en relación con las actividades de
la Unidad de Evaluación de Tecnologías Sanitarias de Madrid (UETS-M),
explicitadas en este Plan de Trabajo, aprobado por el Consejo interterritorial
del Sistema Nacional de Salud en la sesión plenaria, celebrada el día 28 de
octubre de 2020, relativo al "Plan Anual de Trabajo 2020 de la Red Española de
Agencias de Evaluación de Tecnologías Sanitarias y Prestaciones del SNS y
criterios para la distribución de créditos destinados a su financiación", por un
montante total de 3.575.000 euros.
La Ley 6/2018, de 3 de
julio, de Presupuestos Generales del Estado para el año 2018, prorrogado para
el ejercicio 2020, de conformidad con lo establecido en la Orden HAC/46/2020,
de 20 de enero, por la que se dictan instrucciones y sobre procedimiento y
documentación a remitir en desarrollo del Acuerdo del Consejo de Ministros de
27 de diciembre de 2019, tiene consignado crédito en el Presupuesto de Gasto
del Ministerio de Sanidad en la aplicación presupuestaria 26.07.313B.457 "A las CC.
AA. para el desarrollo del plan anual de trabajo de la Red Española de Agencias
de Evaluación de Tecnologías Sanitarias y Prestaciones del SNS".
El criterio de
distribución a las comunidades autónomas es proporcional a la carga de trabajo
asignada a cada agencia o unidad de evaluación, según su experiencia y recursos
y el porcentaje ponderado atribuido a cada actividad, de conformidad con la
siguiente tabla:
|
ACTIVIDAD
|
PORCENTAJE
PONDERADO
|
|
1 Informe evaluación
|
2,2
|
|
1 Guía de Práctica Clínica
|
3
|
|
1 Otro Producto Basado en la Evidencia
|
1
|
|
1 Estudio de monitorización
|
3
|
|
Tecnologías Emergentes
|
1,7
|
|
Desarrollos metodológicos
|
2
|
|
Línea de actividad internacional, actividades
científicas,
de diseminación y formación
|
1
|
|
Línea de Evaluación del Plan de protección
de la salud frente a las pseudoterapias
|
1
|
|
Guía Salud
|
13,7
|
El crédito asignado a
la Unidad de Evaluación de Tecnologías Sanitarias de Madrid (UETS-M) se
corresponde con un 2,8 % del total del crédito total, lo que supone un importe
de 100.000 euros.
La Propuesta del
Consejo Interterritorial del Sistema Nacional de Salud fue aprobada por Consejo
de Ministros, en la reunión mantenida el 9 de diciembre de 2020.
Segundo
Que, de conformidad con
lo contenido en el artículo 4 del Decreto 24/2008, de 3 de abril, del Consejo
de Gobierno, por el que se establece el régimen jurídico y de funcionamiento
del Servicio Madrileño de Salud, entre sus fines se encuentra la atención
integral de la salud en todos los ámbitos asistenciales.
El artículo 1 del
Decreto 308/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se
establece la estructura directiva del Servicio Madrileño de Salud, dispone que
el órgano de dirección del Servicio Madrileño de Salud es el Director General
que, a su vez, será el titular de la Viceconsejería de Asistencia Sanitaria.
Por otra parte, el
artículo 2.1.o) del mismo texto normativo establece que corresponde a la
Dirección General del Proceso Integrado de Salud, la evaluación de las
tecnologías sanitarias.
Tercero
Que la Fundación se
constituye en Madrid, en el año 2015, autorizada por Decreto 53/2015, de 21 de
mayo, del Consejo de Gobierno de la Comunidad de Madrid, a propuesta de la
Consejería de Sanidad, como una entidad sin ánimo de lucro, cuya finalidad es
promover la investigación científica-técnica y la formación en el área de las
ciencias de las salud y potenciar la calidad asistencial en los centros
sanitarios dependientes del órgano competente en materia de atención primaria
de la Comunidad de Madrid, para lo que desarrollará, entre otras, la actividad
de promocionar y coordinar la realización y desarrollo de programas de
investigación científica e innovación aplicadas a la Biomedicina y las Ciencias
de la Salud, campo en el que goza de una amplia experiencia y gran
reconocimiento científico en su actuación.
Cuarto
Que el Servicio
Madrileño de Salud no dispone de los medios técnicos idóneos que sean lo
suficientemente ágiles y eficaces que permitan materializar, en el plazo
establecido por el Ministerio de Sanidad, todas las actuaciones definidas por
dicho Ministerio, que se recogen en el cuadro del exponen primero, y que son
objeto de subvención, por lo que la experiencia asistencial y la estructura
organizativa de la Fundación, así como los medios estructurales y materiales de
que dispone, ofrece garantías para poder ejecutar las actuaciones previstas y
que son objeto de subvención en el plazo establecido para ello.
Quinto
En este marco, el
Servicio Madrileño de Salud, a través de la Unidad de Evaluación de Tecnologías
Sanitarias de Madrid (UETS-M) ha desarrollado, durante el ejercicio 2020,
actividades susceptibles de recibir fondos en relación con las actividades
incluidas en el plan anual de trabajo de la Red Española de Agencias de
Evaluación de Tecnologías Sanitarias y Prestaciones del Sistema Nacional de
Salud.
En virtud de lo
expuesto, el Servicio Madrileño de Salud y la Fundación
ACUERDAN
Suscribir la presente
encomienda de gestión en los términos que, a continuación, se indican:
Primero.- Objeto
de la encomienda
Por el presente
acuerdo, el Servicio Madrileño de Salud encomienda a la Fundación, por razones
técnicas y de eficacia, la gestión de los fondos derivados de las aportaciones
dinerarias que reciba para el desarrollo del Plan Anual de Trabajo 2020 de la
Red Española de Agencias de Evaluación de Tecnologías Sanitarias y Prestaciones
del Sistema Nacional de Salud", con un presupuesto, para el ejercicio de 2020, de
100.000 euros para el desarrollo de evaluación de la eficacia, efectividad,
seguridad y eficiencia de las tecnologías, técnicas y procedimientos
siguientes:
─
Informes de evaluación de tecnologías:
§
Implante percutáneo de válvulas biológicas tras degeneración de prótesis
previamente implantadas vía quirúrgica ("valve in valve") derivado de un emergente.
§
Eficacia y seguridad del Láser Coronario en el tratamiento percutáneo de
lesiones coronarias complejas.
─
Fichas de tecnologías emergentes:
§
Capnografía inteligente personalizada en el tratamiento de la parada
cardiorrespiratoria por el soporte vital avanzado.
§
Litoplastia/Litotricia coronaria
─
Informes del plan de pseudoterapias:
§
Eficacia y seguridad del Chi-Kung / Qi-Gong.
§
Eficacia y seguridad del zerobalancing
─
Guías de práctica clínica actualización§:
§
Prevención y el Tratamiento de la Obesidad Infantojuvenil (Fase final)
─
La participación internacional y en actividades científicas, formativas y de
diseminación.
En ningún caso, la
encomienda tendrá por objeto prestaciones sometidas a la legislación de
contratos del sector público.
Segundo.- Compromisos
de la Fundación
La Fundación asume los
siguientes compromisos:
─
Gestión administrativa-financiera de los fondos recibidos en virtud del
presente acuerdo para destinarlos a sus fines específicos.
─
Consecución del objetivo general de desarrollar las actuaciones previstas en el
Plan anual de trabajo, consistentes en la realización de los informes de
evaluación de tecnologías, fichas de tecnologías emergentes, informes del plan
de pseudoterapias y actualización de guías de práctica clínica.
─
Justificación económica, a los tres meses de la fecha del efectivo
posicionamiento de los fondos al Ente Público, que incluirán los gastos
asociados a la relación de actuaciones realizadas durante el periodo y estado
contable del fondo asignado al presente acuerdo.
─
Facilitar toda la información que le sea requerida y someterse a las
actuaciones de comprobación que puedan realizarse por el Servicio Madrileño de
Salud y a las de control de la actividad económico financiera que correspondan
a la Intervención. A tales efectos, deberá admitir la presencia de las personas
que, formalmente designadas por el titular de la Dirección General del Proceso
Integrado de Salud, sean designadas para realizar el seguimiento y evaluación
del estado de la encomienda y de los fondos asignados, facilitándoles cuanta
información y datos contables o de otro tipo, le sean solicitados a tal efecto.
─
Comunicar al Servicio Madrileño de Salud cualquier alteración que afecte
sustancialmente a la ejecución de las actuaciones previstas en el presente
acuerdo.
Tercero.- Compromisos
del Servicio Madrileño de Salud
El Servicio Madrileño
de Salud, a través de la Unidad de Evaluación de Tecnologías Sanitarias de
Madrid (UETS-M), adscrita a la Dirección General del Proceso Integrado de
Salud, ejercerá las facultades de:
─
Supervisar el desarrollo de las actuaciones administrativas necesarias para la
adquisición del material, base de datos, aplicaciones informáticas y
contratación de servicios que permitan el cumplimiento del objetivo de la
encomienda.
─
Establecer las actuaciones y su cronograma de realización de forma que se
cumplan los Programas cuya financiación ha sido aprobada por el Consejo
Interterritorial del Sistema Nacional de Salud.
─
Facilitar toda la información técnica y administrativa que resulte precisa para
convocar los expedientes de contratación para la adquisición de bienes y/o
servicios.
─
Prestar a los profesionales de la Fundación la asistencia técnica que estos
precisen para el desarrollo de las tareas objeto del presente acuerdo.
Cuarto.- Presupuesto
y pago
El presupuesto que
actualmente se destina al objeto de la encomienda procede de los fondos
asignados a la Comunidad de Madrid por el Ministerio de Sanidad en el año 2020,
en relación con el "Plan Anual de Trabajo 2020 de la Red Española de
Agencias de Evaluación de Tecnologías Sanitarias y Prestaciones del SNS
(RedETS), y que, para dicho ejercicio, asciende a la cantidad de 100.000 euros.
En todo caso, la
aportación de los fondos a la entidad encomendada estará sujeta a la
disposición efectiva de los mismos por parte del Servicio Madrileño de Salud.
Quinto.- Seguimiento
y evaluación
El Servicio Madrileño
de Salud se encargará de realizar periódicamente el seguimiento y la evaluación
del grado de consecución de los objetivos marcados por el Ministerio de
Sanidad.
Sexto.- Regularización
Las partes reconocen
expresamente la imposibilidad de predeterminar desde el inicio el número total,
así como el detalle, de las actuaciones, recursos materiales y humanos que
deberán aplicarse para lograr el objeto de la encomienda, por lo que, a la
finalización de la anualidad del "Plan Anual de trabajo 2020 de RedETS", se
regularizarán todas las actividades realizadas, incluidas las que, inicialmente
no previstas, resulten imprescindibles de ejecutar para cumplir con el objeto
encomendado, para actuaciones a realizar durante los ejercicios contables en los
que este plan anual de trabajo nacional será financiado, de conformidad con lo
indicado en los fondos que se asignen por el Ministerio de Sanidad, para el
desarrollo total de los planes anuales de trabajo de las Agencias y Unidades de
Evaluación de Tecnologías Sanitarias a realizar por las comunidades autónomas.
Séptimo.- Protección
de datos y confidencialidad
Las partes firmantes
se comprometen a cumplir las previsiones contenidas en la Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales, así como en el Reglamento (UE) 2016/679, de 27 de abril de 2016 del
Parlamento Europeo y del Consejo, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento General de Protección de Datos) y a la normativa posterior que lo
desarrolle o modifique.
Los datos de carácter
personal que recaben u obtengan las partes en el desarrollo y aplicación de la
encomienda serán tratados y utilizados de conformidad con la normativa vigente.
En particular, las
partes se comprometen a respetar el deber de secreto, y las limitaciones en su
caso marcadas por la normativa de aplicación, sobre cualquier información a la
que se tenga acceso en la realización de actividades objeto de esta encomienda
de gestión, salvo aquella información que deba ser pública según lo establecido
en la Ley 19/2013 de 9 de diciembre, de Transparencia, Acceso a la Información
Pública y Buen Gobierno, y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la
Comunidad de Madrid.
El tratamiento de los
datos de la presente encomienda queda sometido a la mencionada normativa, así
como a la vigente en cada momento, de conformidad con los Anexos I y II de la
encomienda.
Octavo.- Vigencia
de la encomienda
La presente encomienda
de gestión estará vigente en tanto las actividades incluidas en los Planes
Anuales de Trabajo de la Red Española de Agencias de Evaluación de Tecnologías
sanitarias y prestaciones del SNS, acordados en el Pleno del Consejo de la
RedETS, y aprobados para su financiación y desarrollo, en el seno del Consejo
Interterritorial del Sistema Nacional de Salud, en función de los fondos
procedentes de éstos, que se traspasarán, una vez hayan sido recibidos en el
Servicio Madrileño de Salud, o hasta que no se asignen más fondos a estos
planes anuales de trabajo, o que los asignados impidan, o no permitan su
ejecución.
La presente encomienda
surtirá efectos desde su publicación en el Boletín Oficial de la Comunidad de
Madrid.
ANEXO I
ACUERDO DE ENCARGO DE
TRATAMIENTO
En el presente acuerdo
las partes fijan formalmente y por escrito los términos y condiciones para
regular el tratamiento de datos de carácter personal y la confidencialidad de
la información suministrada y creada entre ellas.
Tendrá la
consideración de información confidencial toda la información susceptible de
ser revelada por escrito, de palabra o por cualquier otro medio o soporte,
tangible o intangible, actualmente conocido o que posibilite el estado de la
técnica en el futuro, intercambiada como consecuencia de esta encomienda.
Las partes se comprometen
a mantener el compromiso de confidencialidad respecto a la información y
material facilitado y recibido en virtud de la presente encomienda de forma
indefinida tras su finalización.
CONFIDENCIALIDAD
Las partes se obligan
con respecto a la información y material que hayan podido recibir como
consecuencia de esta encomienda a:
a) Utilizar la
información de forma reservada.
b) No divulgar ni
comunicar la información facilitada o recibida, salvo resolución motivada en
los términos establecidos en la Ley 19/2013, de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno y la Ley
10/2019, de 10 de abril, de Transparencia y de
c) Participación de la
Comunidad de Madrid.
d) Impedir la copia o
revelación de esa información a terceros, salvo que goce de aprobación escrita
de las partes y únicamente en los términos de tal aprobación.
e) Se restringirá el
acceso a la información a sus empleados y colaboradores, salvo en la medida en
que razonablemente puedan necesitarla para el cumplimiento de sus tareas
acordadas.
f) No utilizar la
información o fragmentos de ésta para fines distintos de la ejecución de esta
encomienda.
g) Cumplir con todos
los términos fijados en el presente acuerdo y muy especialmente aquellos
relativos a las cláusulas sobre propiedad intelectual e industrial,
confidencialidad y obligación de secreto, manteniendo esta confidencialidad y
evitando revelar la información a toda persona que no sea empleado o
subcontratado.
h) Las partes serán
responsables ante el incumplimiento de esta obligación, ya sea por sus
empleados, voluntarios o por subcontratados, etc.
CLÁUSULAS
Primera.- Responsables
del tratamiento
El Servicio Madrileño
de Salud tendrá la consideración de Responsable del Tratamiento y la Fundación
de Investigación e Innovación Biomédica de Atención Primaria tendrá la
consideración de Encargado del Tratamiento, conforme a lo establecido en los
artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en
adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos
digitales, y en el resto de normativa vigente en la materia.
En consecuencia el
acceso a datos de carácter personal en el marco de esta encomienda se realiza
con el único fin de permitir una adecuada prestación de los servicios y no se
considerará como una cesión o comunicación de datos.
Segunda.- Definiciones
Los términos
específicos en materia de protección de datos serán interpretados conforme a
las definiciones establecidas en el artículo 4 del RGPD.
Tercera.- Deber
de secreto
El Encargado del
Tratamiento (en adelante, el Encargado) se obliga a guardar la máxima reserva y
secreto sobre la información clasificada como confidencial facilitada por el
Responsable del Tratamiento (en adelante, el Responsable) con motivo de la
prestación de servicios objeto de la encomienda.
Se considerará
información confidencial cualquier información a la que el Encargado acceda en
virtud de la encomienda, en especial la información y datos personales a los
que haya accedido o acceda durante su ejecución, salvo aquella información que
deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de
Transparencia, Acceso a la Información Pública y Buen Gobierno, y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de
Madrid.
La obligación de
confidencialidad tendrá carácter indefinido, manteniéndose en vigor con
posterioridad a la finalización por cualquier causa de la relación entre las
partes.
El Encargado será
responsable de que su personal, colaboradores, voluntarios y en general, todas
las personas de su responsabilidad que tengan acceso a la información
confidencial y a los datos personales del Responsable, respeten la
confidencialidad de la información, así como las obligaciones relativas al
tratamiento de datos de carácter personal, aun después de finalizar su relación
con el Encargado. Por tanto, el Encargado realizará cuantas advertencias y
suscribirá cuantos documentos sean necesarios con dichas personas, con el fin
de asegurar el cumplimiento de estas obligaciones.
El Encargado mantendrá
a disposición del Responsable la documentación acreditativa del cumplimiento de
la obligación establecida en el párrafo anterior.
Cuarta.- Obligaciones
del encargado del tratamiento
El Encargado del
tratamiento asume las siguientes obligaciones:
─
Acceder a los datos de carácter personal responsabilidad del Responsable
únicamente cuando sea imprescindible para el buen desarrollo de los servicios.
─
Tratar los datos conforme a las instrucciones que reciba del Responsable.
─
En caso de que el tratamiento incluya la recogida de datos personales en nombre
y por cuenta del Responsable, el Encargado deberá seguir los procedimientos e
instrucciones que reciba de él, especialmente en lo relativo al deber de
información y, en su caso, a la obtención del consentimiento de los
interesados.
─
Si el Encargado considera que alguna de las instrucciones recibidas infringe el
RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos
de la Unión o de los Estados miembros, informará inmediatamente al Responsable.
─
No destinar, aplicar o utilizar los datos de carácter personal del Responsable
con fin distinto del indicado en la encomienda o de cualquier otra forma que
suponga un incumplimiento de sus instrucciones.
─
Asumir la condición de responsable del tratamiento en caso de que destine los
datos a otra finalidad distinta del cumplimiento del objeto de la encomienda,
los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones
de la normativa vigente, respondiendo de las infracciones en las que hubiera
incurrido personalmente.
─
El Encargado del Tratamiento, así como cualquier empleado o voluntario del
mismo se compromete a cumplir la política de seguridad de la información en el
ámbito de la Administración Electrónica y de los sistemas de información de la
Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden
491/2013, de 27 de junio, y todas las políticas, normas y procedimientos
que emanen del citado código, así como las que se determinen en materia de
seguridad para el tratamiento de datos de carácter personal.
─
No permitir el acceso a los datos de carácter personal responsabilidad del
Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos
para la prestación de los servicios.
─
No revelar, transferir, ceder o de otra forma comunicar los datos de carácter
personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por
medios electrónicos, papel o mediante acceso informático, ni siquiera para su
conservación, a ningún tercero, salvo que exista autorización o instrucción previa
del Responsable.
─
En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la
LOPDGDD, el Encargado mantendrá un registro de todas las categorías de
actividades de tratamiento efectuadas por cuenta del Responsable, que contenga
la información exigida por el artículo 30.2 del RGPD.
─
Garantizar la formación necesaria en materia de protección de datos personales
de las personas autorizadas para tratar datos personales.
─
Dar apoyo al Responsable en la realización de las evaluaciones de impacto
relativas a la protección de datos, cuando proceda y en la realización de las
consultas previas a la Autoridad de Control, cuando proceda.
─
Poner a disposición del Responsable toda la información necesaria para
demostrar el cumplimiento de sus obligaciones, así como para la realización de
las auditorías o las inspecciones que realicen al Responsable u otro auditor
autorizado por este.
─
Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del
RGPD, y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
(ENS), que garanticen la seguridad de los datos de carácter personal
responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
de los datos almacenados y los riesgos a que estén expuestos, ya provengan de
la acción humana o del medio físico o natural.
─
En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el
artículo 34 de la LOPDGDD, designar un delegado de protección de datos y
comunicar su identidad y datos de contacto al
─
Responsable, así como cumplir con todo lo dispuesto en los artículos 37 a 39
del RGPD y 35 a 37 de la LOPDGDD.
─
En caso de que el Encargado deba transferir o permitir acceso a datos
personales responsabilidad del Responsable a un tercero en virtud del Derecho
de la Unión o de los Estados miembros que le sea aplicable, informará al
Responsable de esa exigencia legal ─Respetar
todas las obligaciones que pudieran corresponderle como encargado del
tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición
o regulación complementaria que le fuera igualmente aplicable.
Quinta.- Obligaciones
del responsable del tratamiento
El Responsable
manifiesta y hace constar a los efectos legales oportunos que:
a) En caso de que el tratamiento incluya la recogida
de datos personales en su nombre y por su cuenta, establecerá los
procedimientos correspondientes a la recogida de los datos, especialmente en lo
relativo al deber de información y, en su caso, a la obtención del
consentimiento de los interesados, garantizando que estas instrucciones cumplen
con todas las prescripciones legales y reglamentarias que exige la normativa
vigente en materia de protección de datos.
b) En caso de que el tratamiento no incluya la
recogida de datos personales en nombre y por cuenta del Responsable, los datos
de carácter personal a los que accederá el Encargado en virtud de esta
encomienda, han sido obtenidos y tratados cumpliendo con todas las
prescripciones legales y reglamentarias que exige la normativa vigente en
materia de protección de datos.
c) Cumple con todas sus obligaciones en materia de
protección de datos como responsable del tratamiento y es consciente de que los
términos de esta encomienda en nada alteran ni sustituyen las obligaciones y
responsabilidades que sean atribuibles al Responsable del Tratamiento como tal.
d) Supervisar el tratamiento y el cumplimiento de la
normativa de protección de datos por parte del Encargado del Tratamiento.
Sexta.- Medidas
de seguridad y violación de la seguridad
Teniendo en cuenta el
estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el
contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas físicas, el
Encargado del Tratamiento aplicará medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya,
entre otros:
a) La seudonimización y el cifrado de datos
personales.
b) La capacidad de garantizar la confidencialidad,
integridad, disponibilidad y resiliencia permanentes de los sistemas y
servicios de tratamiento, así como la disponibilidad y el acceso a los datos
personales de forma rápida en caso de incidente físico o técnico.
c) Un proceso de verificación, evaluación y valoración
regulares de la eficacia de las medidas técnicas y organizativas para
garantizar la seguridad del tratamiento.
d) Un catálogo de medidas de seguridad reconocido en
normativas o estándares de seguridad de la información.
Al evaluar la
adecuación del nivel de seguridad, el Encargado tendrá en cuenta los riesgos
que presente el tratamiento de datos, en particular como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso
no autorizados a esos datos.
El Encargado del
Tratamiento permitirá y contribuirá a la realización de auditorías e
inspecciones, por parte del Responsable o de otro auditor autorizado por él.
Asimismo, en caso de
modificación de la normativa vigente en materia de protección de datos o de
otra normativa relacionada y que resultase aplicable al tratamiento objeto de
la encomienda de referencia, el Encargado garantiza la implantación y
mantenimiento de cualesquiera otras medidas de seguridad que le fueran
exigibles, sin que ello suponga una modificación de los términos de esta
encomienda.
En caso de violación
de la seguridad de los datos personales en los sistemas de información
utilizados por el Encargado para la prestación de los servicios objeto de la
encomienda, este deberá notificar al Responsable, sin dilación indebida, y en
cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de
la seguridad de los datos personales a su cargo de las que tenga conocimiento,
juntamente con toda la información relevante para la documentación y
comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del
RGPD.
En tal caso,
corresponderá al Responsable comunicar las violaciones de seguridad de los
datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo
establecido en la normativa vigente. Y en cualquier otro caso cuando así sea de
aplicación conforme a lo establecido en la normativa vigente.
Séptima.- Destino
de los datos al finalizar la encomienda
Una vez cumplida o
resuelta la encomienda, el Encargado deberá solicitar al Responsable
instrucciones precisas sobre el destino de los datos de carácter personal de su
responsabilidad, pudiendo elegir este último entre su devolución, remisión a un
tercero o destrucción íntegra, siempre que no exista previsión legal que exija
la conservación de los datos, en cuyo caso no podrá procederse a su
destrucción.
El Encargado podrá
conservar, debidamente bloqueados, los datos de carácter personal
responsabilidad del Responsable, en tanto pudieran derivarse responsabilidades
de su relación con él.
Octava.- Ejercicio
de derechos ante el encargado de tratamiento
El Encargado deberá
dar traslado al Responsable de cualquier solicitud de ejercicio del derecho de
acceso, rectificación, supresión y oposición, limitación del tratamiento,
portabilidad de los datos y a no ser objeto de decisiones individualizadas
automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por
el Encargado con motivo del cumplimiento de la encomienda, a fin de que se
resuelva en los plazos establecidos por la normativa vigente.
El traslado de la
solicitud al Responsable deberá hacerse con la mayor celeridad posible y en
ningún caso más allá del día laborable siguiente al de la recepción de la
solicitud, juntamente, en su caso, con otras informaciones que puedan ser
relevantes para resolverla.
Asimismo, el Encargado
deberá tramitar cualquier instrucción relativa a derechos de acceso,
rectificación, supresión y oposición, limitación del tratamiento, portabilidad de
los datos y a no ser objeto de decisiones individualizadas automatizadas, que
reciba a través del Responsable, a la mayor celeridad posible, y siempre dentro
del plazo máximo de dos días hábiles a contar desde la recepción de la
solicitud, confirmando por escrito tanto la recepción de la solicitud, como la
ejecución de la tarea encomendada.
Novena.- Deber
de información mutuo
Las partes informan a
los firmantes de la encomienda de que sus datos de carácter personal van a ser
tratados con la finalidad estipulada en la encomienda, siendo imprescindible
para ello que se aporten sus datos identificativos, el cargo que ostentan,
número de DNI o documento equivalente y su firma.
Asimismo, las partes
garantizan cumplir con el deber de información con respecto a sus empleados
cuyos datos personales sean comunicados entre las partes para el mantenimiento
y cumplimiento de la encomienda.
La base jurídica que
legitima el tratamiento de los datos de los interesados es la celebración y
ejecución de la encomienda. Las partes se comunicarán mutuamente la identidad
de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les
sea de aplicación.
Los datos serán
conservados durante la vigencia de la encomienda y una vez finalizada, durante
los plazos establecidos en la legislación vigente con la finalidad de atender a
las posibles responsabilidades derivadas de su firma.
En todo caso, los
interesados podrán ejercer sus derechos de acceso, rectificación, supresión y
oposición, limitación, portabilidad ante la parte que corresponda a través de
comunicación por escrito al domicilio social del Responsable aportando
fotocopia de su DNI o documento equivalente e identificando el derecho cuyo
ejercicio se solicita. Asimismo, en caso de considerar vulnerado su derecho a
la protección de datos personales, podrán interponer una reclamación ante la
Agencia Española de Protección de Datos.
Décima.- Subencargo
del tratamiento
Con carácter general
el Encargado no podrá subencargar las prestaciones que formen parte del objeto
de esta encomienda y que comporten el tratamiento de datos personales, salvo
los servicios auxiliares necesarios para su normal funcionamiento.
Sin perjuicio de lo
anterior, en caso de que el Encargado necesitara subencargar todo o parte de
los servicios encargados por el Responsable en los que intervenga el
tratamiento de datos personales, deberá comunicarlo previamente y por escrito
al Responsable, con una antelación de 1 mes, indicando los tratamientos que se
pretende subencargar e identificando de forma clara e inequívoca la empresa
subencargada y sus datos de contacto. El subencargo podrá llevarse a cabo si el
Responsable no manifiesta su oposición en el plazo establecido.
En este último caso,
el subencargado, que también tendrá la condición de encargado del tratamiento,
está obligado igualmente a cumplir las obligaciones establecidas en este
documento para el Encargado del Tratamiento y las instrucciones que dicte el
Responsable del Tratamiento.
Corresponde a
Encargado del Tratamiento exigir al subencargado el cumplimiento de las mismas
obligaciones asumidas por él a través del presente documento y seguirá siendo
plenamente responsable ante el Responsable del Tratamiento en lo referente al
cumplimiento de las obligaciones.
El Encargado del
Tratamiento está obligado a informar al Responsable de cualquier cambio en la
incorporación o sustitución de otros subencargados con una antelación de 1 mes,
dando así al Responsable la oportunidad de oponerse a dichos cambios.
El Encargado será
considerado responsable del tratamiento en el caso de que destine los datos a
otras finalidades, los comunique o los utilice incumpliendo las estipulaciones
de esta encomienda, respondiendo de las infracciones en las que hubiera
incurrido personalmente.
Las partes responderán
de las infracciones en las que hubiesen incurrido personalmente, manteniendo
indemne a la parte contraria frente a cualquier perjuicio que se derivase de
ellas.
ANEXO II
COMPROMISO DE
CONFIDENCIALIDAD Y DEBER DE SECRETO
1. Confidencialidad
a) El firmante queda
expresamente obligado a mantener absoluta confidencialidad y reserva sobre
cualquier dato que pudiera conocer con ocasión del cumplimiento de su función,
especialmente los de carácter personal, que no podrá copiar o utilizar con fin
distinto al que esté determinado, ni tampoco ceder a otros ni siquiera a
efectos de conservación. Esta obligación subsistirá una vez finalizada la
relación entre las partes.
b) Queda prohibida la
salida de información propiedad del Servicio Madrileño de Salud (en adelante,
SERMAS), obtenida de sus sistemas de información o de otras fuentes, por
cualquier medio físico o telemático, salvo autorización por escrito del
responsable de dicha información.
c) Una vez extinguida
la relación con el SERMAS o cualquiera de sus organismos dependientes, los
datos de carácter personal pertenecientes al mismo que pueda tener bajo su
control el abajo firmante, deberá destruirlos o devolverlos, por el método
acordado, así como cualquier otro soporte o documento en el que conste algún
dato de carácter personal.
2.
Políticas de seguridad
a) El abajo firmante
se compromete a cumplir la política de seguridad de la información en el ámbito
de la Administración Electrónica y de los sistemas de información de la
Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden
491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que
emanen de la citada política, así como las que se determinen en materia de
seguridad para el tratamiento de datos de carácter personal. Para su
conocimiento, se le proporcionará acceso a la normativa que le sea de
aplicación.
b) El acceso lógico a
los Sistemas de Información y Comunicaciones del SERMAS o de cualquiera de sus
organismos dependientes se hará con la autorización correspondiente, en la
forma que se indique y con las medidas de seguridad que se marquen en cada
caso, no pudiendo acceder a datos reales sin la autorización por escrito del
Responsable o Encargado del Tratamiento.
c) Ante cualquier duda
que pueda incidir en la seguridad de los Sistemas de Información y
Comunicaciones, deberá consultar con su enlace o Responsable en el SERMAS o de
cualquiera de sus organismos dependientes. La función del enlace será ofrecerle
asesoramiento, atender cualquier tipo de consulta o necesidad, transmitir
instrucciones, ponerle al corriente de sus cometidos, objetivos, entre otras.
d) Queda estrictamente
prohibido el uso de programas informáticos en los sistemas de información del
SERMAS o de cualquiera de sus organismos dependientes sin la correspondiente
licencia y/o autorización. Los programas informáticos propiedad del SERMAS o de
cualquiera de sus organismos dependientes están protegidos por propiedad
intelectual, y por tanto está estrictamente prohibida su reproducción,
modificación, cesión o comunicación sin la debida autorización.
e) Queda estrictamente
prohibido en los sistemas de información del SERMAS o de cualquiera de sus
organismos dependientes el uso, reproducción, cesión, transformación o
comunicación pública de cualquier otro tipo de obra o invención protegida por
la propiedad intelectual sin la debida autorización.
3.
Derecho de información
a) En cumplimiento de
la normativa vigente en materia de protección de datos, se le informa de que
los datos personales que se faciliten serán responsabilidad el SERMAS, como
Responsables del tratamiento, cuyo Delegado de Protección de Datos (DPD) es el
Comité DPD de la Consejería de Sanidad de la Comunidad de Madrid, con dirección
en c/ Melchor Fernández Almagro, n.o 1, Madrid 28029, y cuya
finalidad es la contemplada en el presente documento.
b) La base jurídica
que legitima el tratamiento de los datos de los interesados es la necesidad para
la celebración y ejecución de la presente encomienda de gestión. Los datos
serán conservados durante la vigencia de la encomienda de gestión específica y
una vez finalizada, durante los plazos establecidos en la legislación vigente
con la finalidad de atender a las posibles responsabilidades derivadas de su
firma.
c) Podrá ejercer sus
derechos de acceso, rectificación, supresión, oposición, limitación del
tratamiento y portabilidad, en la medida que sean aplicables, a través de
comunicación escrita a los Responsables del Tratamiento, en Plaza Carlos Trías
Bertrán, n.o 7, Madrid 28020 concretando su solicitud, junto con su
DNI o documento equivalente. Asimismo, le informamos de la posibilidad de
presentar una reclamación ante la Agencia Española de Protección de Datos.
Leído y entendido, el
abajo firmante se compromete a cumplir lo arriba establecido.
Madrid, a de 202
Nombre:
DNI:
Firma:
