ACUERDO de encomienda de gestión de 7 de junio de 2022, entre el
Servicio Madrileño de Salud y la Fundación de Investigación Biomédica del
Hospital Clínico ʺSan Carlosʺ, en materia de gestión de los fondos
procedentes del Ministerio de Sanidad, destinados al desarrollo de un proyecto
para la sintomatología cognitiva post COVID-19: detección precoz de
enfermedades neurodegenerativas.()
REUNIDOS
De una
parte, D._____________, Viceconsejero de Asistencia Sanitaria y Salud Pública y
Director General del Servicio Madrileño de Salud, nombrado mediante Decreto
170/2021, de 7 de julio, del Consejo de Gobierno en nombre y representación del
Servicio Madrileño de Salud, actuando en uso de las atribuciones conferidas por
el artículo 12 del Decreto 1/2022, de 19 de enero, del Consejo de Gobierno, por
el que se establece la estructura orgánica de la Consejería de Sanidad, el
artículo 1.2 del Decreto 2/2022, de 26 de enero, por el que se establece la
estructura directiva del Servicio Madrileño de Salud, y el artículo 23.2 a) del
Decreto
24/2008, de 3 de abril, por el que se establece el régimen jurídico y de
funcionamiento del Servicio Madrileño de Salud.
Y de otra
parte, D.____________, Presidente del Patronato de la Fundación de
Investigación Biomédica del Hospital Clínico ʺSan Carlosʺ (en
adelante, la Fundación), en representación de la misma, de acuerdo con lo
previsto en el Decreto
191/2003, de 24 de julio, por el que se autoriza la constitución de la
Fundación para la Investigación Biomédica del Hospital Clínico ʺSan Carlosʺ
y en los artículos 18 y 20 de sus Estatutos.
EXPONEN
Primero
La Ley
16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud
prevé la elaboración conjunta de estrategias de salud por parte del Ministerio
de Sanidad (en su actual denominación) y los órganos competentes de las
Comunidades Autónomas, en relación con patologías prevalentes, estableciendo
criterios sobre la forma de organizar los servicios para atender las patologías
de manera integral en el conjunto del Sistema Nacional de Salud, y determinando
estándares mínimos y modelos básicos de atención, especificando actuaciones de
efectividad reconocida, herramientas de evaluación e indicadores de actividad.
La citada
Ley 16/2003 confiere al Consejo Interterritorial del sistema Nacional de Salud
la función de Conferencia Sectorial en relación con la aprobación de las estrategias
de salud, al ser el órgano permanente de coordinación e información de los
servicios de salud entre ellos y con la Administración del Estado, con la
finalidad de promover la cohesión del sistema Nacional de Salud.
Así, el
Consejo Interterritorial del Sistema Nacional de Salud aprobó, con fecha 28 de
julio de 2021, los criterios para la distribución de fondos a las comunidades
autónomas para estrategias frente a enfermedades raras y enfermedades
neurodegenerativas (incluido ELA), que se financian con cargo al Presupuesto de
Gastos del Ministerio de Sanidad, contemplado en la Ley 11/2020, de 30 de
diciembre, de Presupuestos Generales del Estado para el año 2021.
El
reparto de estos fondos se realiza en función de la población, con datos del
Padrón de 2020, declarados oficiales por Real Decreto 1147/2020, de 15 de
diciembre. A la Comunidad de Madrid le corresponde un crédito por importe de
214.343,62 euros, de los que 10.000 euros se corresponden a las actividades a
realizar para el estudio de la sintomatología cognitiva post COVID y la
detección precoz de enfermedades neurodegenerativas.
Segundo
Que, de
conformidad con lo contenido en el artículo 4 del Decreto 24/2008, de 3 de
abril, entre los fines del Servicio Madrileño de Salud se encuentra la atención
integral de la salud en todos los ámbitos asistenciales.
Por su
parte, el Decreto 2/2022, de 26 de enero, por el que se establece la estructura
directiva del Servicio Madrileño de Salud, atribuye a la Dirección General de
Hospitales e Infraestructuras Sanitarias, en la letra a) del número 1 del
artículo 6 las competencias en materia de: ʺDirección de los centros y
organizaciones sanitarias adscritos y dependientes del ámbito hospitalario,
integrados en el Servicio Madrileño de Salud (
)ʺ.
Tercero
Que la
Fundación se constituye en Madrid, en el año 2003, autorizada por Decreto
191/2003, de 24 de julio, del Consejo de Gobierno de la Comunidad de Madrid, a
propuesta de la Consejería de Sanidad, como una entidad sin ánimo de lucro,
cuya finalidad es promover la investigación científica-técnica y la formación
en el área de las ciencias de las salud y potenciar la calidad asistencial del
Hospital, para lo que desarrollará, entre otras, la actividad de promocionar y
coordinar la realización y desarrollo de programas de investigación científica
aplicada a la Biomedicina y las Ciencias de la Salud, campo en el que goza de
una amplia experiencia y gran reconocimiento científico en su actuación.
Cuarto
Que el
Servicio Madrileño de Salud no dispone de los medios técnicos idóneos que sean
lo suficientemente ágiles y eficaces que permitan materializar, en el plazo
establecido por el Ministerio de Sanidad, todas las actuaciones necesarias,
definidas por dicho Ministerio, y que son objeto de subvención, por lo que la
experiencia asistencial y la estructura organizativa de la Fundación, así como
los medios estructurales y materiales de que dispone, ofrece garantías para
poder ejecutar las actuaciones previstas y que son objeto de subvención en el
plazo establecido para ello.
Quinto
Que el
proyecto ʺSintomatología cognitiva post COVID-19: detección precoz de
enfermedades neurodegenerativasʺ propone evaluar la existencia de procesos
de neurodegeneración y su frecuencia en pacientes que han sufrido COVID-19 y
refieren sintomatología cognitiva posteriormente a la infección aguda, para
definir un algoritmo, o árbol de decisión, clínico ante el paciente con
sintomatología cognitiva post COVID-19, que permita identificar precozmente los
pacientes con una enfermedad neurodegenerativa de forma optimizada.
La Unidad
de Neurología Cognitiva, incardinada en el Servicio de Neurología, del Hospital
Clínico ʺSan Carlosʺ, es una unidad especializada en enfermedades
neurodegenerativas y en valoración de la repercusión cognitiva de cualquier
enfermedad neurológica o sistémica.
Las
complicaciones respiratorias y sistémicas de la enfermedad por SARS-COV-2
(COVID-19) son frecuentes y comprometen la vida en la fase aguda de la
enfermedad. Hay, además, evidencias crecientes acerca de la afectación del
COVID-19 en el sistema nervioso central. Estas complicaciones incluyen, en la
fase aguda de la enfermedad, el desarrollo de encefalopatía, encefalitis,
encefalomielitis diseminada aguda, ictus isquémico y hemorrágico, trombosis
venosa y endotelitis.
Entre los
síntomas más frecuentes en la fase post aguda se encuentran: la pérdida de
memoria y las dificultades atencionales.
Lo
anterior plantea, en la práctica clínica, un problema frecuente, especialmente
en personas mayores de 60 años, grupo de edad en el que la causa más frecuente
de sintomatología cognitiva antes de la pandemia era la enfermedad de
Alzheimer. Dada la alta frecuencia del COVID-19 en la población general y la
existencia de síntomas cognitivos persistentes tras la infección aguda, es
necesario poder distinguir entre aquellos pacientes en los que los síntomas
cognitivos están en relación con una enfermedad neurodegenerativa y aquéllos en
los que los síntomas cognitivos son consecuencia única y directa del COVID-19,
lo que resulta imprescindible para realizar un diagnóstico precoz tanto de los
pacientes con una potencial enfermedad neurodegenerativa como de los pacientes
con síntomas tras COVID-19.
En virtud
de lo expuesto y de acuerdo con lo establecido en el artículo 11 de la Ley
40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Servicio
Madrileño de Salud y la Fundación,
ACUERDAN
Primero. Objeto de la encomienda
Por el
presente acuerdo, el Servicio Madrileño de Salud encomienda a la Fundación, por
razones técnicas y de eficacia, la gestión de los fondos derivados de las
aportaciones dinerarias que reciba el Servicio Madrileño de Salud para la
realización del proyecto ʺSintomatología cognitiva post COVID-19:
detección precoz de enfermedades neurodegenerativasʺ, en los términos y
condiciones contenidos en el mismo, con un presupuesto de 10.000 euros.
Segundo. Compromisos de la Fundación de
Investigación Biomédica del Hospital Clínico ʺSan Carlosʺ
La
Fundación asume los siguientes compromisos:
Gestión
administrativa-financiera de los fondos recibidos en virtud del presente
acuerdo para destinarlos a sus fines específicos.
Consecución del objetivo general de evaluar la existencia de procesos de
neurodegeneración su frecuencia en pacientes que han sufrido COVID-9 y refieren
sintomatología cognitiva posteriormente a la infección aguda que permita
definir un algoritmo que posibilite identificar precozmente los pacientes con
una enfermedad neurodegenerativa de forma optimizada, de acuerdo a los términos
contenidos en el proyecto ʺSintomatología cognitiva post COVID-19:
detección precoz de enfermedades neurodegenerativas.ʺ
Justificación económica, a los tres meses de la fecha del efectivo
posicionamiento de los fondos al Ente Público, que incluirán los gastos
asociados a la relación de actuaciones realizadas durante el período y estado
contable del fondo asignado al presente acuerdo.
Facilitar toda la información que le sea requerida y someterse a las
actuaciones de comprobación que puedan realizarse por el Servicio Madrileño de
Salud y a las de control de la actividad económico financiera que correspondan
a la Intervención. A tales efectos, deberá admitir la presencia de las personas
que, formalmente designadas por el titular de la Dirección General de
Hospitales e Infraestructuras Sanitarias, sean designadas para realizar el
seguimiento y evaluación del estado de la encomienda y de los fondos asignados,
facilitándoles cuanta información y datos contables o de otro tipo, le sean
solicitados a tal efecto.
Comunicar al Servicio Madrileño de Salud cualquier alteración que afecte
sustancialmente a la ejecución de las actuaciones previstas en el presente
acuerdo.
Tercero. Compromisos del Servicio Madrileño de
Salud
El
Servicio Madrileño de Salud, a través de la Dirección General de Hospitales e
Infraestructuras Sanitarias, ejercerá las facultades de:
Supervisar el desarrollo de las actuaciones administrativas necesarias para la
adquisición del material, base de datos, aplicaciones informáticas y
contratación de servicios que permitan el cumplimiento del objetivo de la
encomienda.
Establecer las actuaciones y su cronograma de realización de forma que se
cumplan los Programas cuya financiación ha sido aprobada por el Consejo
Interterritorial del Sistema Nacional de Salud.
Facilitar toda la información técnica y administrativa que resulte precisa para
convocar los expedientes de contratación para la adquisición de bienes y/o
servicios.
Cuarto. Presupuesto y pago
El
presupuesto que actualmente se destina al objeto de la encomienda procede de
los fondos asignados a la Comunidad de Madrid por el Ministerio de Sanidad en
el año 2021, en relación con el proyecto de ʺSintomatología cognitiva post
COVID-19: Detección precoz de enfermedades neurodegenerativasʺ y que, para
dicho ejercicio, asciende a la cantidad de 10.000 euros.
En todo
caso, la aportación de los fondos a la entidad encomendada estará sujeta a la
disposición efectiva de los mismos por parte del Servicio Madrileño de Salud.
Quinto. Seguimiento y evaluación
El
Servicio Madrileño de Salud se encargará de realizar periódicamente el
seguimiento y la evaluación del grado de consecución de los objetivos marcados
por el Ministerio de Sanidad.
Sexto. Competencia
La
presente encomienda de gestión no supone cesión de la titularidad de las
competencias ni de los elementos sustantivos de su ejercicio. Los actos y
resoluciones que den soporte o en los que se integren las actividades
materiales o técnicas objeto de esta encomienda se adoptarán por el Servicio
Madrileño de Salud en su calidad de entidad encomendante.
Séptimo. Regularización
Las
partes reconocen expresamente la imposibilidad de predeterminar desde el inicio
el número total, así como el detalle, de las actuaciones, recursos materiales y
humanos que deberán aplicarse para lograr el objeto de la encomienda, por lo
que, a la finalización del programa nacional, se regularizarán todas las
actividades realizadas, incluidas las que, inicialmente no previstas, resulten
imprescindibles de ejecutar para cumplir con el objeto encomendado, para
actuaciones a realizar durante los ejercicios contables en los que este plan
nacional será financiado, de conformidad con lo indicado en los fondos que se
asignen por el Ministerio de Sanidad, para el desarrollo total del proyecto.
Octavo. Protección de datos, confidencialidad y
transparencia
Las
partes firmantes se comprometen a cumplir las previsiones contenidas en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitadles, así como el Reglamento (UE) del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento General de Protección de Datos), así como la normativa posterior
que lo desarrolle o modifique.
Los datos
personales que se recaben u obtengan las partes en el desarrollo y aplicación
de la encomienda, serán tratados y utilizados de conformidad con la normativa
vigente.
En
particular, las partes se comprometen a respetar el deber de secreto y las
limitaciones, en su caso, marcadas por la normativa de aplicación, sobre
cualquier información a la que se tenga acceso en la realización de actividades
objeto de esta encomienda, salvo aquella información que deba ser pública,
según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia,
acceso a la información pública y buen gobierno y la Ley
10/2019, de 10 de abril, de Transparencia y Participación de la Comunidad
de Madrid.
El tratamiento
de los datos queda sometido a la mencionada normativa, así como a la vigente en
cada momento, de conformidad con los Anexos I y II de la misma.
Noveno. Vigencia de la encomienda
La
presente encomienda estará en vigor hasta la completa ejecución de su objeto,
salvo que no se asignen fondos al proyecto, o que los asignados impidan, o no
permitan, su ejecución.
La
presente encomienda surtirá efectos desde su publicación en el BOLETÍN OFICIAL
DE LA COMUNIDAD DE MADRID.
ANEXO
I
ACUERDO DE ENCARGO DE TRATAMIENTO
En el
presente acuerdo las partes fijan formalmente y por escrito los términos y
condiciones para regular el tratamiento de datos de carácter personal y la
confidencialidad de la información suministrada y creada entre ellas.
Tendrá la
consideración de información confidencial toda la información susceptible de
ser revelada por escrito, de palabra o por cualquier otro medio o soporte,
tangible o intangible, actualmente conocido o que posibilite el estado de la
técnica en el futuro, intercambiada como consecuencia de esta encomienda.
Las
partes se comprometen a mantener el compromiso de confidencialidad respecto a
la información y material facilitado y recibido en virtud del convenio de
referencia y del presente convenio de forma indefinida tras su finalización.
CONFIDENCIALIDAD
Las
partes se obligan con respecto a la información y material que hayan podido
recibir como consecuencia de este convenio a:
a)
Utilizar la información de forma reservada.
b) No
divulgar ni comunicar la información facilitada o recibida, salvo resolución
motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno.
c)
Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación
escrita de las partes y únicamente en los términos de tal aprobación.
d) Se
restringirá el acceso a la información a sus empleados y colaboradores, salvo
en la medida en que razonablemente puedan necesitarla para el cumplimiento de
sus tareas acordadas.
e) No
utilizar la información o fragmentos de ésta para fines distintos de la
ejecución de este convenio.
f)
Cumplir con todos los términos fijados en el presente acuerdo y muy
especialmente aquellos relativos a las cláusulas sobre propiedad intelectual,
confidencialidad y obligación de secreto, manteniendo esta confidencialidad y
evitando revelar la información a toda persona que no sea empleado o
subcontratado.
Las
partes serán responsables ante el incumplimiento de esta obligación, ya sea por
sus empleados, voluntarios o por subcontratados, etc.
CLÁUSULAS
Primera. Responsable y Encargado del tratamiento
El
Servicio Madrileño de Salud (SERMAS) tendrá la consideración de Responsable del
Tratamiento y la Fundación de Investigación Biomédica del Hospital Clínico ʺSan
Carlosʺ, tendrá la consideración de Encargado del Tratamiento, conforme a
lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (en adelante RGPD), así como en el artículo 33 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), y en el resto de
normativa vigente en la materia.
En
consecuencia el acceso a datos de carácter personal en el marco de esta
encomienda se realiza con el único fin de permitir una adecuada prestación de
los servicios y no se considerará como una cesión o comunicación de datos.
Segunda. Definiciones
Los
términos específicos en materia de protección de datos, serán interpretados
conforme a lo establecido en el artículo 4 del RGPD.
Tercera. Deber de secreto
El
Encargado del tratamiento (en adelante, el Encargado) se obliga a guardar la
máxima reserva y secreto sobre la información clasificada como confidencial con
motivo de la prestación de servicios objeto de la encomienda.
Se
considerará información confidencial cualquier información a la que el
Encargado acceda en virtud de la encomienda, en especial la información y datos
personales a los que haya accedido o acceda durante su ejecución, salvo aquella
información que deba ser pública según lo establecido en la Ley 19/2013, de 9
de diciembre, de transparencia, acceso a la información pública y buen gobierno
y la Ley 10/2019, de 10 de abril, de Transparencia y Participación de la
Comunidad de Madrid.
La
obligación de confidencialidad tendrá carácter indefinido, manteniéndose en
vigor con posterioridad a la finalización por cualquier causa de la relación
entre las partes.
El
Encargado será responsable de que su personal, colaboradores, voluntarios y, en
general, todas las personas de su responsabilidad que tengan acceso a la
información confidencial y a los datos personales del Responsable, respeten la
confidencialidad de la información, así como las obligaciones relativas al
tratamiento de datos personales, aun después de finalizar su relación con el
Encargado. Por tanto, el Encargado realizará cuantas advertencias y suscribirá
cuantos documentos sean necesarios con dichas personales, con el fin de
asegurar el cumplimiento de estas obligaciones.
El
Encargado mantendrá a disposición del Responsable la documentación acreditativa
del cumplimiento de la obligación establecida en el párrafo anterior.
Cuarta. Obligaciones del Encargado del
tratamiento
El
Encargado del tratamiento, asumen las siguientes obligaciones:
Acceder
a los datos de carácter personal únicamente cuando sea imprescindible para el
buen desarrollo de los servicios.
Tratar
los datos conforme a las instrucciones que reciba del Responsable.
En caso
de que el tratamiento incluya la recogida de datos personales en nombre y por
cuenta del Responsable, el Encargado deberá seguir los procedimientos e
instrucciones que reciba de él, especialmente en lo relativo al deber de
información y, en su caso, a la obtención del consentimiento de los
interesados.
Si el
Encargado considera que alguna de las instrucciones recibidas infringe el RGPD,
la LOPDGDD o cualquier otra disposición en materia de protección de datos de la
Unión o los Estados miembros, informará inmediatamente al Responsable.
No
destinar, aplicar o utilizar los datos personales del Responsable con fin
distinto del indicado en la encomienda o de cualquier otra forma que suponga un
incumplimiento de sus instrucciones.
Asumir
la condición de responsable del tratamiento en caso de que destine los datos a
otra finalidad distinta del cumplimiento del objeto de la encomienda, los
comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de
la normativa vigente, respondiendo de las infracciones en las que hubiera
incurrido personalmente.
El Encargado
del Tratamiento, así como cualquier empleado o voluntario del mismo se
compromete a cumplir la política de seguridad de la información en el ámbito de
la Administración Electrónica y de los sistemas de información de la Consejería
de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27
de junio, y todas las políticas, normas y procedimientos que emanen del citado
código, así como las que se determinen en materia de seguridad para el
tratamiento de datos personales.
No
permitir el acceso a los datos personales responsabilidad del Responsable a
ningún empleado o persona que no tenga la necesidad de conocerlos para la
prestación de los servicios.
No
revelar, transferir, ceder o de otra forma comunicar los datos personales
responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios
electrónicos, papel o mediante acceso informático, ni siquiera para su
conservación, a ningún tercero, salvo que exista autorización o instrucción
previa del Responsable.
En caso
de estar obligado a ello por el artículo 30 del RGPD y el 31 de la LOPDGDD, el
Encargado mantendrá un registro de todas las categorías de actividades de
tratamiento efectuadas por cuenta del Responsable, que contenga la información
exigida por el artículo 30.2 del RGPD.
Garantizar la formación necesaria en materia de protección de datos personales
de las personas autorizadas para tratar datos personales.
Dar
apoyo al Responsable en la realización de las evaluaciones de impacto relativas
a la protección de datos, cuando proceda, y en la realización de las consultas
previas a la Autoridad de Control, cuando proceda.
Poner a
disposición del Responsable toda la información necesaria para demostrar el
cumplimiento de sus obligaciones, así como para la realización de las
auditorías o las inspecciones que realicen al Responsable u otro auditor
autorizado por éste.
Adoptar
y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD y en
el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Seguridad en el ámbito de la Administración Electrónica (ENS), que
garanticen la seguridad de los datos personales responsabilidad del Responsable
y eviten su alteración, pérdida, tratamiento o acceso autorizado, habida cuenta
del estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que estén expuestos, ya provengan de la acción humana o del medio
físico o natural.
En caso
de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de
la LOPDGDD, designar un delegado de protección de datos y comunicar su
identidad y datos de contacto al Responsable, así como cumplir con todo lo
dispuesto en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD.
En caso
de que el Encargado deba transferir o permitir acceso a datos personales
responsabilidad del Responsable a un tercero en virtud del Derecho de la Unión
o de los Estados miembros que le sea aplicable, informará al Responsable de esa
exigencia legal de manera previa, salvo que estuviese prohibido por razones de
interés público.
Respetar todas las obligaciones que pudieran corresponderle como encargado del
tratamiento con arreglo al RGPD y la LOPDGDD, o de cualquier otra disposición o
regulación complementaria que le fuera igualmente aplicable.
Quinta. Obligaciones del Responsable del
tratamiento
El
Responsable manifiesta y hace constar a los efectos legales oportunos que:
a) En
caso de que el tratamiento incluya la recogida de datos personales en su nombre
y por su cuenta, establecerá los procedimientos correspondientes a la recogida
de los datos, especialmente en lo relativo al deber de información y, en su
caso, a la obtención del consentimiento de los interesados, garantizando que
estas instrucciones cumplen con todas las prescripciones legales y
reglamentarias que exige la normativa vigente en materia de protección de
datos.
b) En
caso de que el tratamiento no incluya la recogida de datos personales en nombre
y por cuenta del Responsable, los datos personales a los que accederá el
Encargado en virtud de esta encomienda, han sido obtenidos y tratados
cumpliendo con todas las prescripciones legales y reglamentarias que exige la
normativa vigente en materia de protección de datos.
c) Cumple
con todas sus obligaciones en materia de protección de datos como responsable
del tratamiento y es consciente de que los términos de esta encomienda en nada
alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles
al Responsable del Tratamiento como tal.
d)
Supervisar el tratamiento y el cumplimiento de la normativa de protección de
datos por parte del Encargado del Tratamiento.
Sexta. Medidas de seguridad y violación de la
seguridad
Teniendo
en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza,
el alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, EL Encargado del Tratamiento aplicará las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, que en su caso incluya, entre otros:
a) La
seudonimización y el cifrado de datos personales.
b) La
capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento, así como la
disponibilidad y el acceso a los datos personales de forma rápida en caso de
incidente físico o técnico.
c) Un
proceso de verificación, evaluación y valoración regulares de la eficacia de
las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
d) Un
catálogo de medidas de seguridad reconocido en normativas o estándares de
seguridad de la información.
Al
evaluar la adecuación del nivel de seguridad, el Encargado tendrán en cuenta
los riesgos que presente el tratamiento de datos, en particular como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de
datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a esos datos.
El Encargado
del Tratamiento permitirá y contribuirá a la realización de auditorías e
inspecciones, por parte del Responsable o de otro auditor autorizado por él.
Asimismo,
en caso de modificación de la normativa vigente en materia de protección de
datos o de otra normativa relacionada y que resultase aplicable al tratamiento
objeto de la encomienda de referencia, el Encargado garantiza la implantación y
mantenimiento de cualesquiera otras medidas de seguridad que le fueran
exigibles, sin que ello suponga una modificación de los términos de esta
encomienda.
En caso
de violación de la seguridad de los datos personales en los sistemas de
información utilizados por el Encargado para la prestación de los servicios
objeto de la encomienda, éste deberá notificar al Responsable, sin dilación
indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las
violaciones de la seguridad de los datos personales a su cargo de las que
tengan conocimiento, juntamente con toda la información relevante para la
documentación y comunicación de la incidencia conforme a lo dispuesto en el
artículo 33.3 del RGPD.
En tal
caso, corresponderá al Responsable comunicar las violaciones de seguridad de
los datos a la Autoridad de Protección de Datos y/o a los interesados conforme
a lo establecido en la normativa vigente y, en cualquier caso, cuando así sea
de aplicación conforme a lo establecido en la normativa vigente.
Séptima. Destino de los datos al finalizar la
encomienda
Una vez
cumplida o resuelta la encomienda, el Encargado deberá solicitar al Responsable
instrucciones precisas sobre el destino de los datos personales de su
responsabilidad, pudiendo elegir este último entre su devolución, remisión a
otro prestador de servicios o destrucción íntegra, siempre que no exista previsión
legal que exija la conservación de los datos, en cuyo caso no podrá procederse
a su destrucción.
El
Encargado podrá conservar, debidamente bloqueados, los datos personales
responsabilidad del Responsable, en tanto pudieran derivarse responsabilidades
de su relación con él.
Octava. Ejercicio de derechos ante el Encargado
de Tratamiento
El
Encargado deberá dar traslado al Responsable de cualquier solicitud de
ejercicio del derecho de acceso, rectificación, supresión y oposición,
limitación del tratamiento, portabilidad de los datos y a no ser objeto de
decisiones individualizadas automatizadas, efectuada por un interesado cuyos
datos hayan sido tratados por el Encargado con motivo del cumplimiento de la
encomienda, a fin de que se resuelva en los plazos establecidos por la
normativa vigente.
El
traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad
posible y en ningún caso más allá del día laborable siguiente al de la
recepción de la solicitud, juntamente, en su caso, con otras informaciones que
puedan ser relevantes para resolverla.
Asimismo,
el Encargado deberá tramitar cualquier instrucción relativa a derechos de
acceso, rectificación, supresión y oposición, limitación del tratamiento,
portabilidad de los datos y a no ser objeto de decisiones individualizadas
automatizadas, que reciban de la otra, a la mayor celeridad posible, y siempre
dentro del plazo máximo de dos días hábiles a contar desde la recepción de la
solicitud, confirmando por escrito tanto la recepción de la solicitud como la
ejecución de la tarea encomendada.
Novena. Deber de información mutuo
Las
partes informan a los firmantes de la encomienda de que sus datos personales
van a ser tratados con la finalidad estipulada en la misma, siendo
imprescindible para ello que aporten sus datos identificativos, el cargo que
ostenta, número de DNI o documento equivalente y su firma.
Asimismo,
las partes garantizan cumplir con el deber de información con respecto a sus
empleados cuyos datos personales sean comunicados entre las partes para el
mantenimiento y cumplimiento de la encomienda.
La base
jurídica que legitima el tratamiento de los datos de los interesados es la
celebración y ejecución de la encomienda. Las partes se comunicarán mutuamente
la identidad de sus Delegados de Protección de Datos, en caso de que dicho
nombramiento les sea de aplicación.
Los datos
serán conservados durante la vigencia de la encomienda y una vez finalizada,
durante los plazos establecidos en la legislación vigente con la finalidad de
atender a las posibles responsabilidades derivadas de su firma.
En todo
caso, los interesados podrán ejercer sus derechos de acceso, rectificación,
supresión y oposición, limitación, portabilidad ante la parte que corresponda a
través de comunicación por escrito al domicilio social del Responsable,
aportando fotocopia de su DNI o documento equivalente e identificando el
derecho cuyo ejercicio se solicita. Asimismo, en caso de considerar vulnerado
su derecho a la protección de datos personales, podrán interponer una reclamación
ante la Agencia Española de Protección de Datos.
Décima. Subencargo del tratamiento
Con
carácter general, el Encargado no podrá subencargar las prestaciones que formen
parte del objeto de esta encomienda y que comporte el tratamiento de datos
personales, salvo los servicios auxiliares necesarios para su norma
funcionamiento.
Sin
perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar
todo o parte de los servicios encargados por el Responsable en los que
intervenga el tratamiento de datos personales, deberá comunicarlo previamente y
por escrito al responsable, con una antelación de un mes, indicando los
tratamientos que se pretende subencargar e identificando de forma clara e
inequívoca la empresa subencargada y sus datos de contacto. El subencargado
podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo
establecido.
En este
último caso, el subencargado, que también tendrá la condición de encargado del
tratamiento, está obligado igualmente a cumplir las obligaciones establecidas
en este documento para el Encargado del Tratamiento y las instrucciones que
dicte el Responsable del Tratamiento.
Corresponde
al Encargado del Tratamiento exigir al subencargado el cumplimiento de las
mismas obligaciones asumidas por él a través del presente documento y seguirá
siendo plenamente responsable ante el Responsable del Tratamiento en lo
referente al cumplimiento de las obligaciones.
El
Encargado del Tratamiento está obligado a informar al Responsable de cualquier
cambio en la incorporación o sustitución de otros subencargados con una
antelación de un mes, dando así al Responsable la oportunidad de oponerse a
dichos cambios.
Undécima. Responsabilidad
El
Encargado será considerado responsable del tratamiento en el caso de que destine
los datos a otras finalidades, los comunique o los utilice incumpliendo las
estipulaciones de esta encomienda, respondiendo de las infracciones en las que
hubiera incurrido personalmente.
Las
partes responderán de las infracciones en las que hubieran incurrido
personalmente, manteniendo indemne a la parte contraria frente a cualquier
perjuicio que se derivase de ellas.
ANEXO
II
COMPROMISO DE CONFIDENCIALIDAD Y DEBER DE SECRETO
I. Confidencialidad
1. El
firmante queda expresamente obligado a mantener absoluta confidencialidad y
reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento
de su función, especialmente los de carácter personal, que no podrá copiar o
utilizar con fin distinto al que esté determinado, ni tampoco ceder a otros ni
siquiera a efectos de conservación. Esta obligación subsistirá una vez
finalizada la relación entre las partes.
2. Queda
prohibida la salida de información propiedad del Servicio Madrileño de Salud
(en adelante SERMAS), obtenida de sus sistemas de información o de otras
fuentes, por cualquier medio físico o telemático, salvo autorización por
escrito del Responsable de dicha información.
3. Una
vez extinguida la relación con el SERMAS, los datos de carácter personal
pertenecientes al mismo que pueda tener bajo su control el abajo firmante,
deberá destruirlos o devolverlos, por el método acordado, así como cualquier
otro soporte o documento en el que conste algún dato de carácter personal.
II. Políticas de
seguridad
1. El
abajo firmante se compromete a cumplir la política de seguridad de la
información en el ámbito de la Administración Electrónica y de los sistemas de
información de la Consejería de Sanidad de la Comunidad de Madrid, establecida
en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y
procedimientos que emanen de la citada política, así como las que se determinen
en materia de seguridad para el tratamiento de datos de carácter personal. Para
su conocimiento, se le proporcionará acceso a la normativa que le sea de
aplicación.
2. El
acceso lógico a los Sistemas de Información y Comunicaciones del SERMAS, se
hará con la autorización correspondiente, en la forma que se indique y con las
medidas de seguridad que se marquen en cada caso, no pudiendo acceder a datos
reales sin la autorización por escrito del Responsable o Encargado del
Tratamiento.
3. Ante
cualquier duda que pueda incidir en la seguridad de los Sistemas de Información
y Comunicaciones, deberá consultar con su enlace o Responsable en el SERMAS. La
función del enlace será ofrecerle asesoramiento, atender cualquier tipo de
consulta o necesidad, transmitir instrucciones, ponerle al corriente de sus
cometidos, objetivos, entre otras.
III. Propiedad
intelectual
1. Queda
estrictamente prohibido el uso de programas informáticos en los sistemas de
información del SERMAS sin la correspondiente licencia y/o autorización. Los
programas informáticos propiedad del SERMAS están protegidos por propiedad
intelectual, y por tanto está estrictamente prohibida su reproducción,
modificación, cesión o comunicación sin la debida autorización.
2. Queda
estrictamente prohibido en los sistemas de información del SERMAS el uso,
reproducción, cesión, transformación o comunicación pública de cualquier otro
tipo de obra o invención protegida por la propiedad intelectual sin la debida
autorización.
IV. Derecho de
información
1. En
cumplimiento de la normativa vigente en materia de protección de datos, se le
informa de que los datos personales que se faciliten serán responsabilidad el
SERMAS, como Responsables del Tratamiento, cuyo Delegado de Protección de Datos
(DPD) es el Comité DPD de la Consejería de Sanidad de la Comunidad de Madrid,
con dirección en calle Melchor Fernández Almagro, número 1, 28029 Madrid, y
cuya finalidad es la contemplada en el presente documento.
2. El
tratamiento es necesario para el cumplimiento de una obligación legal aplicable
al responsable del tratamiento, de conformidad con lo establecido en el
Reglamento (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Con
esta finalidad sus datos serán conservados durante los años necesarios para
cumplir con las obligaciones estipuladas en la normativa vigente aplicable.
Asimismo, se le informa de que los datos no serán comunicados a terceros, salvo
en aquellos casos obligados por Ley.
3. Podrá
ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación
del tratamiento y portabilidad, en la medida que sean aplicables, a través de
comunicación escrita a los Responsables del Tratamiento, en Paseo de la
Castellana número 280, Madrid 28047 concretando su solicitud, junto con su DNI
o documento equivalente. Asimismo, le informamos de la posibilidad de presentar
una reclamación ante la Agencia Española de Protección de Datos.
Leído y
entendido, el abajo firmante se compromete a cumplir lo arriba establecido.
Madrid, a
..de
. 20 .........
Nombre:
DNI:
..
Firma:
Este documento no tiene valor jurídico, solo
informativo. Los textos con valor jurídico son los de la publicación oficial.
