ACUERDO de 20 de septiembre de 2022, de encomienda de
gestión entre la Dirección General de Salud Pública y la Dirección General de
Recursos Humanos y Relaciones con la Administración de Justicia, a través del
Instituto de Medicina Legal y Ciencias Forenses de la Comunidad de Madrid, en
materia de información y vigilancia del consumo de sustancias psicoactivas. ()
REUNIDOS
De una
parte, ____________________, Directora General de Salud Pública, nombrada por
Decreto 37/2020, de 13 de mayo, del Consejo de Gobierno, en el uso de las
atribuciones conferidas por el artículo 13.w) del Decreto 1/2022, de 19 de
enero, del Consejo de Gobierno, por el que se establece la estructura orgánica
de la Consejería de Sanidad.
Y de
otra, ____________________, Directora General de Recursos Humanos y Relaciones
con la Administración de Justicia, en virtud de nombramiento del Decreto
230/2021, de 20 de octubre, del Consejo de Gobierno, en el uso de las
atribuciones conferidas por el artículo 16 191/2021, de 3 de agosto, del Consejo
de Gobierno, por el que se establece la estructura orgánica de la Consejería de
Presidencia, Justicia e Interior, en concordancia con el artículo 1 del
Reglamento del Instituto de Medicina Legal y Ciencias Forenses de la Comunidad
de Madrid aprobado por el Decreto
37/2006, de 4 de mayo, del Consejo de Gobierno,
EXPONEN
Primero
Que la
vigilancia del consumo de sustancias psicoactivas y los problemas asociados en
la Comunidad de Madrid, siguiendo las recomendaciones estatales y europeas, se
basa fundamentalmente en tres indicadores que miden el uso problemático de
estas sustancias: Urgencias hospitalarias por consumo de sustancias
psicoactivas, Admisiones a tratamiento por consumo de sustancias
psicoactivas y Mortalidad por reacción aguda a sustancias psicoactivas.
El
indicador mortalidad relacionada con el consumo de sustancias psicoactivas
pertenece al Sistema Estatal de Información de Toxicomanías (SEIT), y se
encuentra dentro del Plan Estadístico Nacional 2021-2024, por lo que es de
obligado cumplimiento tal como establece el artículo 4 del Real Decreto
97/2022, de 1 de febrero, por el que se aprueba el Programa anual 2022 del Plan
Estadístico Nacional 2021-2024.
La
mortalidad relacionada con el consumo de sustancias psicoactivas es un
indicador importante del impacto social y sanitario del uso nocivo de
sustancias psicoactivas. Sin embargo acceder a los datos a través de los
sistemas de información rutinarios presenta una gran dificultad debido a su
heterogeneidad y difícil clasificación. Por ello, tras realizar estudios
preliminares de validación de diferentes fuentes de información, se estableció
un sistema para recoger los datos de fallecidos por reacción aguda a sustancias
psicoactivas a partir de fuentes forenses y toxicológicas.
Para
medir este indicador se analizan muestras de fallecidos que cumplan al menos
uno de los siguientes criterios:
Presencia de antecedentes de consumo reciente de sustancias psicoactivas.
Presencia de signos de autopsia compatibles con muerte por reacción aguda al
consumo de sustancias psicoactivas.
Análisis toxicológicos positivos para alguna de las sustancias psicoactivas
registrables.
Diagnóstico forense de muerte por reacción aguda al consumo de sustancias
psicoactivas.
La
Organización de Naciones Unidas define las nuevas sustancias psicoactivas como:
Toda sustancia de abuso en forma pura o de preparado no incluida en la
Convención única sobre Estupefacientes de 1961 ni en la Convención sobre
sustancias Psicoactivas de 1971, pero cuya acción puede suponer una amenaza
para la salud pública.
Se han
descrito seis grupos o familias de sustancias emergentes: fenetilaminas,
triptaminas, piperazinas, catinonas, cannabinoides sintéticos y un grupo
heterogéneo denominado otras sustancias. Su mecanismo de acción y sus efectos
dependen de su estructura química. En el caso de las feniletilaminas,
piperazinas y catinonas, liberan catecolaminas e inhiben su recaptación. Los
cannabinoides sintéticos son agonistas de los receptores cannabinoides CB1. Las
triptaminas son agonistas o agonistas parciales de los receptores de serotonina
5HT2. Algunos derivados de la fenciclidina y ketamina son antagonistas del
receptor NMDA del glutamato. Los efectos varían según las sustancias pero son
de tipo estimulante, entactógeno, alucinógeno y sedante.
Las NSP
suponen un importante problema de salud pública debido a que no son ilegales,
se pueden sintetizar fácilmente, no son seguras en su consumo, se difunden a
través de las nuevas tecnologías y el mercado es único a nivel europeo.
El Sistema
Europeo de Alerta Temprana, en el marco de la Acción Común 97/396/JAI, relativa
al intercambio de información, incluyo la evaluación del riesgo y el control de
las nuevas drogas sintéticas, ante el aumento del consumo de nuevas sustancias
psicoactivas (NSP).
Mediante
la Directiva (UE) 2017/2103, del Parlamento Europeo y del Consejo, de 15 de
noviembre de 2017, por la que se modifica la Decisión marco 2004/757/JAI, del
Consejo, para incluir las nuevas sustancias psicotrópicas en la definición de
droga y por la que se deroga la Decisión 2005/387/JAI, del Consejo, y el
Reglamento (UE) 2017/2101, del Parlamento Europeo y del Consejo, de 15 de
noviembre de 2017, por el que se modifica el Reglamento (CE) número 1920/2006
en lo relativo al intercambio de información, al sistema de alerta rápida y al
procedimiento de evaluación del riesgo de las nuevas sustancias psicoactivas,
se establece un sistema más rápido y eficaz, pero manteniendo la estrategia de
tres pasos para responder a las NSP (alerta temprana, evaluación del riesgo y
medidas de control), y reforzando los procesos existentes.
España
participa en este sistema mediante el Sistema Español de Alerta Temprana (SEAT)
que tiene su amparo en la Ley 33/2011, General de Salud Pública, en los
artículos 12, 13, 14 y 15 dedicados específicamente a la vigilancia en salud
pública.
Segundo
Que la
Dirección General de Salud Pública tiene encomendadas entre sus competencias el
estudio, análisis y sistematización de la información que sobre
drogodependencias y otros trastornos adictivos, en sus diferentes aspectos, se
produzca para su suministro a los centros directivos de la Consejería de
Sanidad y al Sistema Estatal de Información (SEIT), así como las
investigaciones sobre la incidencia de nuevas sustancias y variaciones en los
patrones de consumo que puedan producirse.
Asimismo,
se encuentra entre sus competencias, el control de las enfermedades y riesgos
para la salud en situaciones de emergencia sanitaria, la organización de la
respuesta ante situaciones de alertas y crisis sanitarias, así como la gestión
del Sistema de Alerta Rápida en Salud Pública de la Comunidad de Madrid y su
coordinación con el Servicio Madrileño de Salud, otras redes nacionales o de
comunidades autónomas, tal como se establece en el Decreto 1/2022, de 19 de
enero, del Consejo de Gobierno, por el que se establece la estructura orgánica
de la Consejería de Sanidad.
Por lo
tanto, para cumplir con el Indicador de Mortalidad por Reacción Aguda al
consumo de sustancias psicoactivas es necesario recoger la información sobre
fallecidos por dicha causa a partir de fuentes forenses y toxicológicas.
Asimismo,
para reforzar el Sistema de Alerta Temprana de la Comunidad de Madrid es
necesario establecer un circuito de notificación de NSP y facilitar el envío de
muestras (tanto clínicas, como de sustancias) desde el nivel asistencial a los
laboratorios de referencia en detección de sustancias.
Tercero
El
Instituto de Medicina Legal de la Comunidad de Madrid es un órgano técnico al
servicio de la Administración de Justicia, cuyo objeto es auxiliar a la misma,
adscrito a la Consejería de Presidencia, Justicia e Interior y dependiente de
la Dirección General competente en materia de relaciones con la Administración
de Justicia, de cuyo presupuesto forma parte, aportando asistencia técnica para
la práctica de las autopsias y para la realización de pruebas complementarias
asociadas a estudios forenses.
El
Servicio de Laboratorio Forense del Instituto de Medicina Legal y Ciencias
Forenses de la Comunidad de Madrid, tiene la capacidad de identificar las
sustancias psicoactivas presentes en el cadáver, así como una amplia
experiencia en la detección de nuevas sustancias psicoactivas.
Cuarto
Que,
mediante la Encomienda de gestión de 1 de julio de 2021, suscrita entre la
Dirección General de Salud Pública y la Dirección General de Recursos Humanos y
Relaciones con la Administración de Justicia a través del Instituto de Medicina
Legal y Ciencias Forenses de la Comunidad de Madrid, en materia de información
y vigilancia del consumo de sustancias psicoactivas, publicada en el BOLETÍN
OFICIAL DE LA COMUNIDAD DE MADRID el día 22 de julio de 2021, se encomendó a la
Dirección General de Recursos Humanos y Relaciones con la Administración de
Justicia a través del Instituto de Medicina Legal y Ciencias Forenses de la
Comunidad de Madrid, la identificación y notificación de los fallecidos que
cumplían el criterio del Indicador de Mortalidad, así como el análisis de las
muestras de pacientes con sospecha de urgencias por consumo de nuevas
sustancias psicoactivas correspondientes al año 2021, no estando actualmente
vigente.
Quinto
La
Dirección General de Salud Pública no dispone de los medios materiales ni
técnicos para llevar a efecto algunos de los aspectos de los sistemas de
vigilancia recogidos anteriormente, especialmente lo relativo a la información
sobre fallecidos por reacción aguda al consumo de sustancias psicoactivas, así
como al procesamiento de muestras para detectar nuevas sustancias psicoactivas.
Por lo que se hace necesario e imprescindible el apoyo técnico del Laboratorio
Forense del Instituto de Medicina Legal y Ciencias Forenses de la Comunidad de
Madrid al objeto de identificar y notificar los casos que cumplan el criterio
del Indicador Mortalidad y Realizar las analíticas de muestra de los pacientes
que acuden a urgencias por consumo de sustancias psicoactivas presentando un
cuadro grave de sospecha de consumo de nuevas sustancias.
Como
consecuencia de lo anteriormente expuesto, y al amparo de lo establecido en el
artículo 11 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, los titulares de los órganos intervinientes,
ACUERDAN
Primero. Objeto de la encomienda
Por el
presente Acuerdo, la Dirección General de Salud Pública encomienda a la Dirección
General de Recursos Humanos y Relaciones con la Administración de Justicia a
través del Instituto de Medicina Legal y Ciencias Forenses de la Comunidad de
Madrid, la identificación y notificación de los fallecidos que cumplan los
criterios establecidos para medir el Indicador de Mortalidad, así como el
análisis de las muestras de pacientes con sospecha de urgencias por consumo de
nuevas sustancias psicoactivas, que se pongan a disposición de dicho organismo
por la Dirección General de Salud Pública.
Segundo. Compromisos de la Dirección General de
Recursos Humanos y Relaciones con la Administración de Justicia a través del
Instituto de Medicina Legal y Ciencias Forenses de la Comunidad de Madrid.
La
Dirección General de Recursos Humanos y Relaciones con la Administración de
Justicia a través del Instituto de Medicina Legal y Ciencias Forenses de la
Comunidad de Madrid se compromete a:
1.
Aportar su conocimiento técnico y experiencia en relación a los métodos
analíticos, procedimientos de extracción, conservación y transporte de
muestras; y controles de calidad que deben ser realizados.
2.
Realizar en el Laboratorio Forense del Instituto de Medicina Legal y Ciencias
Forenses de la Comunidad de Madrid, los análisis de las muestras de las
personas fallecidas por reacción aguda al consumo de sustancias psicoactivas
que cumplan el criterio del Indicador de Mortalidad, así como el análisis de
las muestras de pacientes con sospecha de urgencias por consumo de nuevas
sustancias psicoactivas, conforme a las técnicas analíticas establecidas y con
los controles de calidad adecuados.
3.
Identificar y notificar los casos de fallecidos que cumplan el criterio del
Indicador de Mortalidad por reacción aguda al consumo de sustancias
psicoactivas, facilitando todas las variables incluidas en el protocolo
nacional de dicho indicador.
Cuando se
identifique una nueva sustancia psicoactiva (NSP) los técnicos enviaran un
Formulario de Notificación de Intoxicación por NSP.
4.
Remitir trimestralmente a la Subdirección General de Vigilancia en Salud
Pública un fichero Excel con la información de los casos identificados que
cumplan los criterios del Indicador de Mortalidad.
5.
Presentar en el primer mes de cada año un informe anual de los análisis
realizados durante el año anterior, sobre las muestras de las personas
fallecidas por reacción aguda al consumo de sustancias psicoactivas que cumplan
el criterio del Indicador de Mortalidad, así como el análisis de las muestras
de pacientes con sospecha de urgencias por consumo de nuevas sustancias
psicoactivas.
Al
término de la encomienda, las muestras serán almacenadas como colección,
siguiendo la legislación vigente (artículo 22 del Real Decreto 1716/2011, de 18
de noviembre, por el que se establecen los requisitos básicos de autorización y
funcionamiento de los biobancos con fines de investigación biomédica y del
tratamiento de las muestras biológicas de origen humano, y se regula el
funcionamiento y organización del Registro Nacional de Biobancos para
investigación biomédica), de tal forma que solo podrán ser utilizadas para la
concreta finalidad que se le ha indicado.
El
titular de la colección será la Dirección General de Salud Pública y la
custodia la realizará el Laboratorio Forense del Instituto de Medicina Legal y
Ciencias Forenses de la Comunidad de Madrid.
Tercero. Compromisos de la Dirección General de
Salud Pública
La
Dirección General de Salud Pública se compromete a:
1. Hacer
llegar las muestras al Laboratorio Forense del Instituto de Medicina Legal y
Ciencias Forenses de la Comunidad de Madrid, según las condiciones de
conservación establecidas y en los tiempos acordados.
2. La
Dirección General de Salud Pública facilitará el material fungible (reactivos,
tubos, etc.) al Laboratorio Forense del Instituto de Medicina Legal y Ciencias
Forenses de la Comunidad de Madrid, para la realización de las determinaciones
que permitan la detección de nuevas sustancias psicoactivas.
3.
Coordinar la extracción de muestras en los Servicios de Urgencias
Hospitalarios, su almacenamiento y recogida según las condiciones establecidas.
4.
Establecer los criterios del Indicador de Mortalidad y revisar periódicamente
su cumplimiento.
5.
Establecer los criterios de envío de muestras y revisar periódicamente su
cumplimiento.
6.
Establecer reuniones periódicas para valorar el desarrollo del indicador.
7.
Elaborar un informe anual con los datos recogidos en dicho indicador y enviarlo
al Instituto de Medicina Legal y Ciencias Forenses de la Comunidad de Madrid.
8.
Analizar y difundir los resultados del estudio, haciendo mención de la
colaboración con la Dirección General de Recursos Humanos y Relaciones con la
Administración de Justicia a través del Instituto de Medicina Legal y Ciencias
Forenses de la Comunidad de Madrid, cuando se haga uso público de los datos
provenientes del Acuerdo.
9. La
propiedad de los resultados será de la Dirección General de Salud Pública. La
Dirección General de Recursos Humanos y Relaciones con la Administración de
Justicia a través del Instituto de Medicina Legal y Ciencias Forenses de la
Comunidad de Madrid se compromete a no ceder a ninguna persona física y
jurídica, ni publicar los resultados de los estudios, sin el consentimiento
previo de la Dirección General de Salud Pública.
Cuarto. Presupuesto y pago
El
presupuesto que se destina al objeto de la encomienda es de sesenta y cuatro
mil euros (64.000 euros) por la realización de los trabajos en las muestras del
año 2022 y 2023, correspondiendo a cada anualidad un importe de treinta y dos
mil euros (32.000 euros) que se abonará en un pago único, con cargo al
subconcepto presupuestario 22706 proyecto 2015/000708 del Programa
313B-Actuaciones en materia de salud pública, previa presentación de la
documentación justificativa por parte del Instituto de Medicina Legal y Ciencias
Forenses de la Comunidad de Madrid de las acciones realizadas una vez
certificada por el titular de la Subdirección General de Vigilancia en Salud
Pública o persona en quien delegue.
Quinto. Competencia
La
presente encomienda de gestión no supone cesión de la titularidad de las
competencias ni de los elementos sustantivos de su ejercicio. Los actos y
resoluciones que den soporte o en los que se integren las actividades
materiales o técnicas objeto de esta encomienda de gestión se adoptarán por la
Dirección General de Salud Pública en su calidad de entidad encomendante.
Sexto. Comunicaciones e instrucciones
Las
comunicaciones respectivas entre los servicios que materialicen la gestión
encomendada y los servicios responsables del servicio que encomienda se cursarán
por la Dirección General de Salud Pública a través de la Subdirección General
de Vigilancia en Salud Pública. Dichas comunicaciones incluirán, cuando
proceda, las debidas instrucciones, detalles o condiciones que el Instituto de
Medicina Legal y Ciencias Forenses de la Comunidad de Madrid debe adoptar para
la adecuada realización del objeto encomendado.
La
Subdirección General de Vigilancia en Salud Pública coordinará e impartirá, en
el ámbito de sus competencias, las instrucciones complementarias para facilitar
la realización de la presente encomienda.
Séptimo. Protección de datos
Las
partes firmantes se comprometen a cumplir las previsiones contenidas en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales, así como el Reglamento (UE) del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento General de Protección de Datos) y a la normativa nacional que lo
desarrolle.
Los datos
de carácter personal que recaben u obtengan las partes en el desarrollo y
aplicación de la encomienda de gestión serán tratados y utilizados de
conformidad con la normativa vigente.
En
particular, las partes se comprometen a respetar el deber de secreto, y las
limitaciones en su caso marcadas por la normativa de aplicación, sobre
cualquier información a la que se tenga acceso en la realización de actividades
objeto de esta encomienda de gestión, salvo aquella información que deba ser
publica según lo establecido en la Ley 19/2013 de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno, y la 10/2019,
de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.
El
tratamiento de los datos de la presente encomienda de gestión queda sometida a
la mencionada normativa, así como a la vigente en cada momento, de conformidad
con los Anexos I y II de esta encomienda de gestión.
Octavo. Vigencia de la encomienda
Esta
encomienda de gestión producirá efectos hasta el día 31 de enero de 2024.
No
obstante lo anterior, la presente encomienda de gestión podrá ser prorrogada
mediante una única prorroga bienal por mutuo acuerdo de las partes, manifestado
con una antelación mínima de dos meses al vencimiento.
La
presente encomienda surtirá efecto el día siguiente al de su publicación en el
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.
ANEXO I
ACUERDO DE ENCARGO DE TRATAMIENTO
En el
presente acuerdo las partes fijan formalmente y por escrito los términos y
condiciones para regular el tratamiento de datos de carácter personal y la
confidencialidad de la información suministrada y creada entre ellas.
Tendrá la
consideración de información confidencial toda la información susceptible de
ser revelada por escrito, de palabra o por cualquier otro medio o soporte,
tangible o intangible, actualmente conocido o que posibilite el estado de la
técnica en el futuro, intercambiada como consecuencia de este acuerdo de
encomienda de gestión.
Las
partes se comprometen a mantener el compromiso de confidencialidad respecto a
la información y material facilitado y recibido en virtud del presente acuerdo
de encomienda de gestión de forma indefinida tras su finalización.
CONFIDENCIALIDAD
Las
partes se obligan con respecto a la información y material que hayan podido
recibir como consecuencia de este acuerdo de encomienda de gestión a:
a)
Utilizar la información de forma reservada.
b) No
divulgar ni comunicar la información facilitada o recibida, salvo resolución
motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de
Madrid.
c)
Impedir la copia o revelación de esa información a terceros, salvo que goce de
aprobación escrita de las partes y únicamente en los términos de tal
aprobación.
d) Se
restringirá el acceso a la información a sus empleados y colaboradores, salvo
en la medida en que razonablemente puedan necesitarla para el cumplimiento de
sus tareas acordadas.
e) No
utilizar la información o fragmentos de ésta para fines distintos de la ejecución
de esta encomienda de gestión.
f)
Cumplir con todos los términos fijados en el presente acuerdo y muy
especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e
industrial, confidencialidad y obligación de secreto, manteniendo esta confidencialidad
y evitando revelar la información a toda persona que no sea empleado o
subcontratado.
Las
partes serán responsables ante el incumplimiento de esta obligación, ya sea por
sus empleados, voluntarios o por subcontratados, etc.
CLÁUSULAS
Primera. Responsable y encargado del tratamiento
La
Dirección General de Salud Pública tendrá la consideración de Responsable del
Tratamiento y el Instituto de Medicina Legal y Ciencias Forenses de la
Comunidad de Madrid, tendrá la consideración de Encargado del Tratamiento,
conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (en adelante, RGPD), así como en el artículo 33 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales, y en el resto de normativa vigente en la
materia.
En
consecuencia el acceso a datos de carácter personal en el marco de este acuerdo
de encomienda de gestión se realiza con el único fin de permitir una adecuada
prestación de los servicios y no se considerará como una cesión o comunicación
de datos.
Segunda. Definiciones
Los
términos específicos en materia de protección de datos serán interpretados
conforme a las definiciones establecidas en el artículo 4 del RGPD.
Tercera. Deber de secreto
El
Encargado del Tratamiento (en adelante, el Encargado) se obliga a guardar la
máxima reserva y secreto sobre la información clasificada como confidencial
facilitada por el Responsable del Tratamiento (en adelante, el Responsable) con
motivo de la prestación de servicios objeto del acuerdo de encomienda de
gestión.
Se
considerará información confidencial cualquier información a la que el
Encargado acceda en virtud de la encomienda de gestión, en especial la
información y datos personales a los que haya accedido o acceda durante su
ejecución, salvo aquella información que deba ser pública según lo establecido
en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información
pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de
Participación de la Comunidad de Madrid. La obligación de confidencialidad
tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la
finalización por cualquier causa de la relación entre las partes.
El
Encargado será responsable de que su personal, colaboradores, voluntarios y en
general, todas las personas de su responsabilidad que tengan acceso a la
información confidencial y a los datos personales del Responsable, respeten la
confidencialidad de la información, así como las obligaciones relativas al
tratamiento de datos de carácter personal, aun después de finalizar su relación
con el Encargado. Por tanto, el Encargado realizará cuantas advertencias y
suscribirá cuantos documentos sean necesarios con dichas personas, con el fin
de asegurar el cumplimiento de estas obligaciones.
El
Encargado mantendrá a disposición del Responsable la documentación acreditativa
del cumplimiento de la obligación establecida en el párrafo anterior.
Cuarta. Obligaciones del encargado del
tratamiento
El
Encargado del tratamiento asume las siguientes obligaciones:
Acceder
a los datos de carácter personal responsabilidad del Responsable únicamente
cuando sea imprescindible para el buen desarrollo de los servicios.
Tratar
los datos conforme a las instrucciones que reciba del Responsable.
En caso
de que el tratamiento incluya la recogida de datos personales en nombre y por
cuenta del Responsable, el Encargado deberá seguir los procedimientos e
instrucciones que reciba de él, especialmente en lo relativo al deber de información
y, en su caso, a la obtención del consentimiento de los interesados.
Si el
Encargado considera que alguna de las instrucciones recibidas infringe el RGPD,
la LOPDGDD o cualquier otra disposición en materia de protección de datos de la
Unión o de los Estados miembros, informará inmediatamente al Responsable.
No
destinar, aplicar o utilizar los datos de carácter personal del Responsable con
fin distinto del indicado en el acuerdo de encomienda de gestión o de cualquier
otra forma que suponga un incumplimiento de sus instrucciones.
Asumir
la condición de responsable del tratamiento en caso de que destine los datos a
otra finalidad distinta del cumplimiento del objeto de la encomienda de
gestión, los comunique o los utilice incumpliendo sus estipulaciones o las
obligaciones de la normativa vigente, respondiendo de las infracciones en las
que hubiera incurrido personalmente.
El
Encargado del Tratamiento, así como cualquier empleado o voluntario del mismo
se compromete a cumplir la política de seguridad de la información en el ámbito
de la Administración Electrónica y de los sistemas de información de la
Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden
491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que
emanen del citado código, así como las que se determinen en materia de
seguridad para el tratamiento de datos de carácter personal.
No
permitir el acceso a los datos de carácter personal responsabilidad del
Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos
para la prestación de los servicios.
No
revelar, transferir, ceder o de otra forma comunicar los datos de carácter
personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por
medios electrónicos, papel o mediante acceso informático, ni siquiera para su
conservación, a ningún tercero, salvo que exista autorización o instrucción
previa del Responsable.
En caso
de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el
Encargado mantendrá un registro de todas las categorías de actividades de
tratamiento efectuadas por cuenta del Responsable, que contenga la información
exigida por el artículo 30.2 del RGPD.
Garantizar la formación necesaria en materia de protección de datos personales
de las personas autorizadas para tratar datos personales.
Dar
apoyo al Responsable en la realización de las evaluaciones de impacto relativas
a la protección de datos, cuando proceda y en la realización de las consultas
previas a la Autoridad de Control, cuando proceda.
Poner a
disposición del Responsable toda la información necesaria para demostrar el
cumplimiento de sus obligaciones, así como para la realización de las
auditorías o las inspecciones que realicen al Responsable u otro auditor
autorizado por este.
Adoptar
y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD, y en
el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Seguridad en el ámbito de la Administración Electrónica (ENS),que garanticen
la seguridad de los datos de carácter personal responsabilidad del Responsable
y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida
cuenta del estado de la tecnología, la naturaleza de los datos almacenados y
los riesgos a que estén expuestos, ya provengan de la acción humana o del medio
físico o natural.
En caso
de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de
la LOPDGDD, designar un delegado de protección de datos y comunicar su
identidad y datos de contacto al Responsable, así como cumplir con todo lo
dispuesto en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD.
En caso
de que el Encargado deba transferir o permitir acceso a datos personales
responsabilidad del Responsable a un tercero en virtud del Derecho de la Unión
o de los Estados miembros que le sea aplicable, informará al Responsable de esa
exigencia legal de manera previa, salvo que estuviese prohibido por razones de
interés público.
Respetar todas las obligaciones que pudieran corresponderle como Encargado del
Tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición
o regulación complementaria que le fuera igualmente aplicable.
Quinta. Obligaciones del responsable del
tratamiento
El
Responsable manifiesta y hace constar a los efectos legales oportunos que:
a) En
caso de que el tratamiento incluya la recogida de datos personales en su nombre
y por su cuenta, establecerá los procedimientos correspondientes a la recogida
de los datos, especialmente en lo relativo al deber de información y, en su
caso, a la obtención del consentimiento de los interesados, garantizando que
estas instrucciones cumplen con todas las prescripciones legales y
reglamentarias que exige la normativa vigente en materia de protección de
datos.
b) En
caso de que el tratamiento no incluya la recogida de datos personales en nombre
y por cuenta del Responsable, los datos de carácter personal a los que accederá
el Encargado en virtud de esta encomienda de gestión, han sido obtenidos y
tratados cumpliendo con todas las prescripciones legales y reglamentarias que
exige la normativa vigente en materia de protección de datos.
c) Cumple
con todas sus obligaciones en materia de protección de datos como responsable
del tratamiento y es consciente de que los términos de esta encomienda de
gestión en nada alteran ni sustituyen las obligaciones y responsabilidades que
sean atribuibles al Responsable del Tratamiento como tal.
d)
Supervisar el tratamiento y el cumplimiento de la normativa de protección de
datos por parte del Encargado del Tratamiento.
Sexta. Medidas de seguridad y violación de la
seguridad
Teniendo
en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el
alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las
personas físicas, el Encargado del Tratamiento aplicará medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, que en su caso incluya, entre otros:
a) La
seudonimización y el cifrado de datos personales.
b) La
capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento, así como la
disponibilidad y el acceso a los datos personales de forma rápida en caso de
incidente físico o técnico.
c) Un
proceso de verificación, evaluación y valoración regulares de la eficacia de
las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
d) Un
catálogo de medidas de seguridad reconocido en normativas o estándares de
seguridad de la información.
Al
evaluar la adecuación del nivel de seguridad, el Encargado tendrá en cuenta los
riesgos que presente el tratamiento de datos, en particular como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a esos datos.
El
Encargado del Tratamiento permitirá y contribuirá a la realización de
auditorías e inspecciones, por parte del Responsable o de otro auditor
autorizado por él.
Asimismo,
en caso de modificación de la normativa vigente en materia de protección de
datos o de otra normativa relacionada y que resultase aplicable al tratamiento
objeto de la encomienda de gestión de referencia, el Encargado garantiza la
implantación y mantenimiento de cualesquiera otras medidas de seguridad que le
fueran exigibles, sin que ello suponga una modificación de los términos de esta
encomienda de gestión.
En caso
de violación de la seguridad de los datos personales en los sistemas de
información utilizados por el Encargado para la prestación de los servicios
objeto de la encomienda de gestión, este deberá notificar al Responsable, sin
dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas
hábiles, las violaciones de la seguridad de los datos personales a su cargo de
las que tenga conocimiento, juntamente con toda la información relevante para
la documentación y comunicación de la incidencia conforme a lo dispuesto en el
artículo 33.3 del RGPD.
En tal
caso, corresponderá al Responsable comunicar las violaciones de seguridad de
los datos a la Autoridad de Protección de Datos y/o a los interesados conforme
a lo establecido en la normativa vigente. Y en cualquier otro caso cuando así
sea de aplicación conforme a lo establecido en la normativa vigente.
Séptima. Destino de los datos al finalizar el
acuerdo de encomienda de gestión
Una vez
cumplido o resuelto la encomienda de gestión, el Encargado deberá solicitar al
Responsable instrucciones precisas sobre el destino de los datos de carácter
personal de su responsabilidad, pudiendo elegir este último entre su
devolución, remisión a un tercero o destrucción íntegra, siempre que no exista
previsión legal que exija la conservación de los datos, en cuyo caso no podrá
procederse a su destrucción.
El
Encargado podrá conservar, debidamente bloqueados, los datos de carácter
personal responsabilidad del Responsable, en tanto pudieran derivarse
responsabilidades de su relación con él.
Octava. Ejercicio de derechos ante el encargado
de tratamiento
El
Encargado deberá dar traslado al Responsable de cualquier solicitud de
ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación
del tratamiento, portabilidad de los datos y a no ser objeto de decisiones
individualizadas automatizadas, efectuada por un interesado cuyos datos hayan
sido tratados por el Encargado con motivo del cumplimiento de la encomienda de
gestión, a fin de que se resuelva en los plazos establecidos por la normativa
vigente.
El
traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad
posible y en ningún caso más allá del día laborable siguiente al de la
recepción de la solicitud, juntamente, en su caso, con otras informaciones que
puedan ser relevantes para resolverla.
Asimismo,
el Encargado deberá tramitar cualquier instrucción relativa a derechos de
acceso, rectificación, supresión y oposición, limitación del tratamiento,
portabilidad de los datos y a no ser objeto de decisiones individualizadas
automatizadas, que reciba a través del Responsable, a la mayor celeridad
posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde
la recepción de la solicitud, confirmando por escrito tanto la recepción de la
solicitud, como la ejecución de la tarea encomendada.
Novena. Deber de información mutuo
Las
partes informan a los firmantes del acuerdo de encomienda de gestión de que sus
datos de carácter personal van a ser tratados con la finalidad estipulada en la
encomienda de gestión, siendo imprescindible para ello que se aporten sus datos
identificativos, el cargo que ostentan, número de DNI o documento equivalente y
su firma.
Asimismo,
las partes garantizan cumplir con el deber de información con respecto a sus
empleados cuyos datos personales sean comunicados entre las partes para el
mantenimiento y cumplimiento de la encomienda de gestión.
La base
jurídica que legitima el tratamiento de los datos de los interesados es la
celebración y ejecución de la encomienda de gestión. Las partes se comunicarán
mutuamente la identidad de sus Delegados de Protección de Datos, en caso de que
dicho nombramiento les sea de aplicación.
Los datos
serán conservados durante la vigencia de la encomienda de gestión y una vez
finalizado, durante los plazos establecidos en la legislación vigente con la
finalidad de atender a las posibles responsabilidades derivadas de su firma.
En todo
caso, los interesados podrán ejercer sus derechos de acceso, rectificación,
supresión y oposición, limitación, portabilidad ante la parte que corresponda a
través de comunicación por escrito al domicilio social del Responsable
aportando fotocopia de su DNI o documento equivalente e identificando el
derecho cuyo ejercicio se solicita. Asimismo, en caso de considerar vulnerado
su derecho a la protección de datos personales, podrán interponer una
reclamación ante la Agencia Española de Protección de Datos.
Décima. Subencargo del tratamiento
Con
carácter general el Encargado no podrá subencargar las prestaciones que formen
parte del objeto de esta encomienda de gestión y que comporten el tratamiento
de datos personales, salvo los servicios auxiliares necesarios para su normal
funcionamiento.
Sin
perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar
todo o parte de los servicios encargados por el Responsable en los que
intervenga el tratamiento de datos personales, deberá comunicarlo previamente y
por escrito al Responsable, con una antelación de 1 mes, indicando los
tratamientos que se pretende subencargar e identificando de forma clara e
inequívoca la empresa subencargada y sus datos de contacto. El subencargo podrá
llevarse a cabo si el Responsable no manifiesta su oposición en el plazo
establecido.
En este
último caso, el subencargado, que también tendrá la condición de el Encargado
del Tratamiento, está obligado igualmente a cumplir las obligaciones
establecidas en este documento para el Encargado del Tratamiento y las
instrucciones que dicte el Responsable del Tratamiento.
Corresponde
a Encargado del Tratamiento exigir al subencargado el cumplimiento de las
mismas obligaciones asumidas por él a través del presente documento y seguirá
siendo plenamente responsable ante el Responsable del Tratamiento en lo referente
al cumplimiento de las obligaciones.
El
Encargado del Tratamiento está obligado a informar al Responsable de cualquier
cambio en la incorporación o sustitución de otros subencargados con una
antelación de 1 mes, dando así al Responsable la oportunidad de oponerse a
dichos cambios.
Undécima. Responsabilidad
El
Encargado será considerado Responsable del Tratamiento en el caso de que
destine los datos a otras finalidades, los comunique o los utilice incumpliendo
las estipulaciones de este acuerdo de encomienda de gestión, respondiendo de
las infracciones en las que hubiera incurrido personalmente.
Las
partes responderán de las infracciones en las que hubiesen incurrido
personalmente, manteniendo indemne a la parte contraria frente a cualquier
perjuicio que se derivase de ellas.
ANEXO II
COMPROMISO DE CONFIDENCIALIDAD Y DEBER DE SECRETO
I. Confidencialidad
1. El
firmante queda expresamente obligado a mantener absoluta confidencialidad y
reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento
de su función, especialmente los de carácter personal, que no podrá copiar o
utilizar con fin distinto al que esté determinado, ni tampoco ceder a otros ni
siquiera a efectos de conservación. Esta obligación subsistirá una vez
finalizada la relación entre las partes.
2. Queda
prohibida la salida de información propiedad de la Consejería de Sanidad de la
Comunidad de Madrid (la CSCM) obtenida de sus sistemas de información o de
otras fuentes, por cualquier medio físico o telemático, salvo autorización por
escrito del Responsable del Tratamiento.
3. Una
vez extinguida la relación con la CSCM, los datos de carácter personal
pertenecientes al mismo que pueda tener bajo control el abajo firmante, deberá
destruirlos o devolverlos, por el método acordado, así como cualquier otro
soporte o documento en el que conste algún dato de carácter personal.
II. Políticas de seguridad
1. El
abajo firmante se compromete a cumplir la política de seguridad de la
información en el ámbito de la Administración Electrónica y de los sistemas de
información de la Consejería de Sanidad de la Comunidad de Madrid, establecida
en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y
procedimientos que emanen de la citada política, así como las que se determinen
en materia de seguridad para el tratamiento de datos de carácter personal. Para
su conocimiento, se le proporcionará acceso a la normativa que le sea de
aplicación.
2. El
acceso lógico a los Sistemas de Información y Comunicaciones de la Consejería
de Sanidad, se hará con la autorización correspondiente, en la forma que se
indique y con las medidas de seguridad que se marquen en cada caso, no pudiendo
acceder a datos reales sin la autorización por escrito del Responsable o
Encargado del Tratamiento.
3. Ante cualquier
duda que pueda incidir en la seguridad de los Sistemas de Información y
Comunicaciones, deberá consultar con su enlace o Responsable en la Dirección
General de Salud Pública. La función del enlace será ofrecerle asesoramiento,
atender cualquier tipo de consulta o necesidad, transmitir instrucciones,
ponerle al corriente de sus cometidos, objetivos, entre otras.
III. Propiedad intelectual
1. Queda
estrictamente prohibido el uso de programas informáticos en los sistemas de
información de la Dirección General de Salud Pública sin la correspondiente
licencia y/o autorización. Los programas informáticos propiedad de la Dirección
General de Salud Pública están protegidos por propiedad intelectual, y por
tanto está estrictamente prohibida su reproducción, modificación, cesión o
comunicación sin la debida autorización.
2. Queda
estrictamente prohibido en los sistemas de información de la Dirección General
de Salud Pública el uso, reproducción, cesión, transformación o comunicación
pública de cualquier otro tipo de obra o invención protegida por la propiedad
intelectual sin la debida autorización.
IV. Derecho de información
1. En
cumplimiento de la normativa vigente en materia de protección de datos, se le
informa de que los datos personales que se faciliten serán responsabilidad de
la Dirección General de Salud Pública como Responsable de Tratamiento, cuyo
Delegado de Protección de Datos (DPD) es el Comité DPD de la Consejería de
Sanidad de la Comunidad de Madrid, con dirección en calle Melchor Fernández Almagro,
número 1, 28029 Madrid, y cuya finalidad es la contemplada en el presente
documento.
2. La
base jurídica que legitima el tratamiento es la prestación de su consentimiento
y su condición de colaborador con la Dirección General de Salud Pública, así como
la demás legislación vigente. Con esta finalidad sus datos serán conservados
durante los años necesarios para cumplir con las obligaciones estipuladas en la
normativa vigente aplicable. Asimismo, se le informa de que los datos no serán
comunicados a terceros, salvo en aquellos casos obligados por Ley.
3. Podrá
ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación
del tratamiento y portabilidad, en la medida que sean aplicables, a través de
comunicación escrita al Responsable del Tratamiento, con domicilio en plaza
Carlos Trías Bertrán, número 7, 28020 Madrid, concretando su solicitud, junto
con su DNI o documento equivalente. Asimismo, le informamos de la posibilidad
de presentar una reclamación ante la Agencia Española de Protección de Datos.
Leído y
entendido, el abajo firmante se compromete a cumplir lo arriba establecido.
Madrid, a
............... de 202 .........
Nombre:
DNI:
Firma:
Este documento no tiene valor jurídico, solo informativo.
Los textos con valor jurídico son los de la publicación oficial.