Legislación de la Comunidad de Madrid

ACUERDO de 1 de junio de 2022, para la encomienda de gestión entre la Dirección General de Salud Pública y el Servicio Madrileño de Salud, a través de la Dirección General de Sistemas de Información y Equipamientos Sanitarios, para el desarrollo de una nueva aplicación informática que de soporte a la vigilancia de las enfermedades de declaración obligatoria en el marco de la Red de Vigilancia Epidemiológica de la Comunidad de Madrid. ([1])

 

 

 

De una parte, D.^a …, Directora General de Salud Pública, nombrada por Decreto 37/2020, de 13 de mayo, del Consejo de Gobierno, actuando en virtud de las competencias que le reconoce el artículo 47 de la Ley 1/1983, de 13 de diciembre, del Gobierno y Administración de la Comunidad de Madrid, y en el uso de las atribuciones conferidas por el artículo 13 del Decreto 1/2022, de 19 de enero, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad.

Y de otra, D. …, Viceconsejero de Asistencia Sanitaria y Salud Pública y Director General del Servicio Madrileño de Salud, nombrado mediante Decreto 170/2021, de 7 de julio, del Consejo de Gobierno, en nombre y representación del Servicio Madrileño de Salud, actuando en uso de las atribuciones conferidas por el artículo 12 del Decreto 1/2022, de 19 de enero, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad, el artículo 1.2 del Decreto 2/2022, de 26 de enero, por el que se establece la estructura directiva del Servicio Madrileño de Salud, y el artículo 23.2.a) del Decreto 24/2008, de 3 de abril, del Consejo de Gobierno, por el que se establece el régimen jurídico y de funcionamiento del Servicio Madrileño de Salud,

 

EXPONEN

 

Primero

 

La Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud, prevé la elaboración conjunta de estrategias de salud por parte del Ministerio de Sanidad (en su actual denominación) y los órganos competentes de las Comunidades Autónomas, en materia de salud pública, y estas actuaciones se encuadran ante la necesidad de dar respuesta a situaciones de especial riesgo o alarma para la salud pública.

La citada Ley 16/2003 confiere al Consejo Interterritorial del Sistema Nacional de Salud la función de Conferencia Sectorial en relación con la aprobación de las estrategias de salud, al ser el órgano permanente de coordinación e información de los servicios de salud entre ellos y con la Administración del Estado, con la finalidad de promover la cohesión del sistema Nacional de Salud.

Así, el Consejo Interterritorial del Sistema Nacional de Salud aprobó, con fecha 13 de octubre de 2021, el ʺacuerdo de distribución de fondos a las Comunidades y Ciudades Autónomas para el sistema de Red de Vigilancia en Salud Públicaʺ con cargo al presupuesto del Ministerio de Sanidad en el marco del componente 18 ʺaumento de capacidades de respuesta ante crisis sanitariasʺ (C18.I3), del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, en el ejercicio presupuestario 2021.

El reparto de estos fondos se realiza en un 40 % de manera lineal, aplicando un importe mínimo a cada Comunidad Autónoma y a Ceuta y Melilla, y el 60 % distribuido por criterios poblacionales. El criterio de distribución es el poblacional según las cifras del padrón publicadas en el Real Decreto 1147/2020, de 15 de diciembre, por el que se declaran oficiales las cifras de población resultantes de la revisión del Padrón municipal referidas al 1 de enero de 2020.

A la Comunidad de Madrid le corresponde un crédito por importe de 1.388.167,67 euros que corresponden al proyecto de mejora del sistema de vigilancia en Salud Pública en la Comunidad de Madrid e integración con otros sistemas asistenciales.

 

Segundo

 

En el año 1995, se crea la red nacional de vigilancia epidemiológica mediante el Real Decreto 2210/1995, de 28 de diciembre, modificándose el sistema de notificación de enfermedades, transformándolo en la Red nacional de vigilancia epidemiológica, adecuándose así, a las exigencias de la Unión Europea, al garantizar la coordinación y el intercambio de la información epidemiológica en forma de diagnóstico clínico y microbiológico; la detección de situaciones epidémicas, incluso en enfermedades de baja incidencia; el uso de la información para la acción; el establecimiento de redes de médicos y laboratorios centinelas a partir de la red asistencial del Sistema Nacional de Salud y la aplicación de nuevas tecnologías de telecomunicación.

En la Comunidad de Madrid, se crea la Red de Vigilancia Epidemiológica de la Comunidad de Madrid, por Decreto 184/1996, de 19 de diciembre, como reordenación de la vigilancia epidemiológica en nuestra región, permitiendo abordajes más eficaces y eficientes de los problemas de salud de la población y una más estrecha coordinación con otras redes.

Varios de los sistemas que integran la citada red tienen por objetivo la vigilancia de las enfermedades transmisibles, en especial las Enfermedades de Declaración Obligatoria (EDO), entre las que se incluyen la vigilancia de las Infecciones relacionadas con la asistencia sanitaria (IRAS) y también participan otros sistemas de vigilancia como la Red de Médicos Centinela.

 

Tercero

 

Que la Dirección General de Salud Pública tiene encomendadas, entre sus competencias, la vigilancia, análisis y control de las condiciones de salud y sus determinantes, así como de las enfermedades transmisibles y no transmisibles y su distribución en los distintos grupos de población, de acuerdo con lo establecido en el Decreto 1/2022, de 19 de enero, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad.

Que el Servicio Madrileño de Salud es competente, de conformidad con lo establecido en el artículo 4, apartado b), del Decreto 24/2008, de 3 de abril, del Consejo de Gobierno, por el que se establece el régimen jurídico y de funcionamiento del Servicio Madrileño de Salud para la puesta en marcha de las actuaciones de salud pública que tengan relación con la atención sanitaria y estén encaminadas a garantizar los derechos de protección de la salud de la población de la Comunidad de Madrid, desde una perspectiva comunitaria, en coordinación con otros órganos con competencia en la materia.

Por su parte, el Decreto 2/2022, de 26 de enero, atribuye a la Dirección General de Sistemas de Información y Equipamientos Sanitarios, en la letra b) del número 1 del artículo 8 las competencias en materia de: ʺla implantación de las aplicaciones informáticas y la garantía de su integración y homogeneidad en el ámbito sanitarioʺ.

 

Cuarto

 

La notificación de las Enfermedades de Declaración Obligatoria (EDO) constituye una pieza clave de la citada red de vigilancia epidemiológica, pero el actual sistema informático en el que se registran tiene importantes déficits para algunas enfermedades, y únicamente permite la incorporación automática de las notificaciones de los Centros de Atención Primaria del Servicio Madrileño de Salud.

Por lo tanto, se hace necesario definir mediante el estudio (requisitos técnicos y análisis funcional) y posterior desarrollo de una nueva aplicación informática que, acorde a la tecnología actual, permita tener las herramientas y las funcionalidades necesarias para ese fin, y que permita la interoperabilidad entre los sistemas de información ya existentes y los nuevos.

 

Quinto

 

Que la Dirección General de Salud Pública no dispone de los medios materiales ni técnicos para llevar a efecto el desarrollo de una aplicación informática que sean lo suficientemente ágiles y eficaces y que permitan materializar, en el plazo establecido por el Ministerio de Sanidad, todas las actuaciones necesarias, definidas por dicho Ministerio, y que son objeto de subvención.

La experiencia de la Dirección General de Sistemas de Información y Equipamientos Sanitarios, así como los medios estructurales y materiales de que dispone, ofrece garantías para poder ejecutar las actuaciones previstas en el plazo establecido para ello, lo que aconseja acudir al instrumento de la encomienda de gestión, de acuerdo a lo previsto en el artículo 11 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

En virtud de lo expuesto, y de conformidad con lo dispuesto en el artículo 11 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, la Dirección General de Salud Pública y el Servicio Madrileño de Salud,

 

ACUERDAN

 

Primero. Objeto de la encomienda

 

Por el presente Acuerdo, la Dirección General de Salud Pública encomienda al Servicio Madrileño de Salud, a través del Dirección General de Sistemas de Información y Equipamientos Sanitarios, el desarrollo de una nueva aplicación informática que de soporte a la vigilancia de las enfermedades de declaración obligatoria en el marco de la Red de Vigilancia Epidemiológica de la Comunidad de Madrid.

 

Segundo. Comunicaciones y seguimiento

 

La Dirección General de Salud Pública, a través de la Subdirección General de Vigilancia en Salud Pública, dará las instrucciones y establecerá los requisitos o condiciones a la Dirección General de Sistemas de Información y Equipamientos Sanitarios para la adecuada realización del objeto encomendado.

La Dirección General de Salud Pública, a través de la Subdirección General de Vigilancia en Salud Pública, se encargará de realizar periódicamente el seguimiento y la evaluación del grado de consecución de los objetivos marcados por el Ministerio de Sanidad.

 

Tercero. Obligaciones de las partes

 

1. El Servicio Madrileño de Salud, a través de la Dirección General de Sistemas de Información y Equipamientos Sanitarios se compromete a:

a) Aportar su conocimiento técnico y experiencia en la arquitectura tecnológica y desarrollo de aplicaciones informáticas en el ámbito sanitario.

b) Realizar el desarrollo de la aplicación informática de soporte de la vigilancia de las enfermedades de declaración obligatoria, conforme a los requisitos funcionales e instrucciones dadas por la Dirección General de Salud Pública.

c) Justificar económicamente, en el plazo de tres meses desde la fecha de la transferencia del crédito al Ente Público, los gastos asociados a la relación de actuaciones realizadas durante el periodo y estado contable del crédito asignado al presente acuerdo.

d) Facilitar toda la información que le sea requerida y someterse a las actuaciones de comprobación que puedan realizarse por la Dirección General de Salud Pública, y a las de control de la actividad económico-financiera que correspondan a la Intervención y otros órganos, dentro de la gestión de fondos provenientes del Plan de Recuperación, Transformación y Resiliencia.

A tales efectos, deberá admitir la presencia de las personas que, formalmente sean designadas por el titular de la Dirección General de Salud Pública, para realizar el seguimiento y evaluación del estado de la encomienda y de los fondos asignados, facilitándoles cuanta información y datos contables o de otro tipo, le sean solicitados a tal efecto.

e) Poner a disposición de la Dirección General de Salud Pública la información necesaria para la cumplimentación del seguimiento y evaluación requeridos en el marco del Plan de Recuperación, Transformación y Resiliencia.

f) Cumplir los protocolos establecidos para la ejecución del proyecto subvencionado con fondos provenientes del ʺPlan de Recuperación, Transformación y Resiliencia -Financiado por la Unión Europea- NextGenerationEUʺ, y suscribir los documentos de declaración y compromiso que se requieran a tal fin por parte de los participantes en el proyecto.

g) Comunicar a la Dirección General de Salud Pública cualquier alteración que afecte sustancialmente a la ejecución de las actuaciones previstas en el presente acuerdo.

 

2. La Dirección General de Salud Pública se compromete a:

a) Facilitar toda la información técnica y administrativa y requisitos funcionales que resulten precisos para el cumplimiento del objetivo de la encomienda.

b) Realizar la aportación del fondo asignado al cumplimiento de la encomienda.

c) Establecer las actuaciones y el cronograma, para la consecución del objeto de la encomienda de gestión.

d) Realizar el seguimiento, la evaluación del estado de la encomienda de gestión y la comprobación de las actuaciones realizadas para garantizar una correcta adecuación a las finalidades perseguidas y un debido uso del fondo percibido, que se llevará a cabo por la persona formalmente designada por el titular de la Dirección General de Salud Pública.

e) Justificar ante el Ministerio de Sanidad la realización del proyecto y la gestión de los fondos asignados del Plan de Recuperación, Transformación y Resiliencia.

 

Cuarto. Presupuesto y pago ([2])

 

El presupuesto que se asigna al objeto de la encomienda procede de los fondos asignados a la Comunidad de Madrid por el Ministerio de Sanidad para el ejercicio 2021, procedente de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, en el marco del componente 18 “aumento de capacidades de respuesta ante crisis sanitarias” (C18.I3) (Plan de Recuperación, Transformación y Resiliencia, financiado por la Unión Europea-NextGenerationEU), en relación con el Proyecto de “Mejora del sistema de vigilancia en Salud Pública en la Comunidad de Madrid e integración con otros sistemas de información asistenciales”.

A tal efecto, para el desarrollo del objeto encomendado la Dirección General de Salud Pública procederá a realizar una transferencia de crédito al Servicio Madrileño de Salud (SERMAS) mediante modificación presupuestaria, por importe total de 1.388.167,67 euros, desde las aplicaciones presupuestarias 313B/22703 y 313B/65004 del centro gestor 170120000, a la aplicación presupuestaria 311P/22703 del centro gestor 171188100.

 

Quinto. Titularidad de la competencia

 

La encomienda de gestión no supone cesión de la titularidad de la competencia ni de los elementos sustantivos de su ejercicio, siendo responsabilidad del órgano encomendante dictar cuantos actos o resoluciones de carácter jurídico den soporte o en los que se integre la concreta actividad material objeto de encomienda.

 

Sexto. Protección de datos, confidencialidad y transparencia

 

Las partes se comprometen a cumplir las previsiones contenidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como en el Reglamento (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento de Protección de Datos), así como la normativa posterior que lo desarrolle o modifique.

Los datos personales que se recaben u obtengan las partes en el desarrollo y aplicación de la encomienda, serán tratados y utilizados de conformidad con la normativa vigente.

En particular, las partes se comprometen a respetar el deber de secreto, y las limitaciones en su caso marcadas por la normativa de aplicación, sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de esta encomienda, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

El tratamiento de los datos queda sometido a la mencionada normativa, así como a la vigente en cada momento, de conformidad con los Anexos I y II de esta encomienda.

 

Séptimo. Duración de la encomienda

 

La presente encomienda surtirá efectos desde el día de su publicación en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID, y estará vigente hasta el 31 de marzo de 2023 ([3]), o hasta su completa ejecución, si el objeto de la misma se alcanzará con anterioridad a dicha fecha, pudiendo prorrogarse, de ser necesario, por periodos de un año.

 

ANEXO I

ACUERDO DE ENCARGO DE TRATAMIENTO

 

En el presente acuerdo las partes fijan formalmente y por escrito los términos y condiciones para regular el tratamiento de datos personales y la confidencialidad de la información suministrada y creada entre ellas.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de esta encomienda.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud de la presente encomienda de forma indefinida tras su finalización.

 

CONFIDENCIALIDAD

 

Las partes se obligan con respecto a la información y material que hayan podido recibir como consecuencia de esta encomienda a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e) No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de esta encomienda.

f) Cumplir con todos los términos fijados en el presente acuerdo y muy especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y obligación de secreto, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios o por subcontratados, etc.

 

CLÁUSULAS

 

Primera. Responsable y encargado del tratamiento

 

La Dirección General de Salud Pública tendrá la consideración de Responsable del Tratamiento y el Servicio Madrileño de Salud, a través de la Dirección General de Sistemas de Información y Equipamientos Sanitarios, tendrá la consideración de Encargado del Tratamiento, conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el resto de normativa vigente en la materia.

En consecuencia, el acceso a datos personales en el marco de esta encomienda se realiza con el único fin de permitir una adecuada prestación de los servicios y no se considerará como una cesión o comunicación de datos.

 

Segunda. Definiciones

 

Los términos específicos en materia de protección de datos serán interpretados conforme a las definiciones establecidas en el artículo 4 del RGPD.

 

Tercera. Deber de secreto

 

El Encargado del Tratamiento (en adelante, el Encargado) se obliga a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el Responsable del Tratamiento (en adelante, el Responsable) con motivo de la prestación de servicios objeto de la encomienda.

Se considerará información confidencial cualquier información a la que el Encargado acceda en virtud de la encomienda, en especial la información y datos personales a los que haya accedido o acceda durante su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes.

El Encargado será responsable de que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del Responsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos personales, aun después de finalizar su relación con el Encargado. Por tanto, el Encargado realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.

El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior.

 

Cuarta. Obligaciones del encargado del tratamiento

 

El Encargado del tratamiento asume las siguientes obligaciones:

- Acceder a los datos personales responsabilidad del Responsable únicamente cuando sea imprescindible para el buen desarrollo de los servicios.

- Tratar los datos conforme a las instrucciones que reciba del Responsable.

- En caso de que el tratamiento incluya la recogida de datos personales en nombre y por cuenta del Responsable, el Encargado deberá seguir los procedimientos e instrucciones que reciba de él, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados.

- Si el Encargado considera que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al Responsable.

- No destinar, aplicar o utilizar los datos personales del Responsable con fin distinto del indicado en la encomienda o de cualquier otra forma que suponga un incumplimiento de sus instrucciones.

- Asumir la condición de responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto de la encomienda, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubiera incurrido personalmente.

- El Encargado del Tratamiento, así como cualquier empleado o voluntario del mismo se compromete a cumplir la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que emanen del citado código, así como las que se determinen en materia de seguridad para el tratamiento de datos personales.

- No permitir el acceso a los datos personales responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para la prestación de los servicios.

- No revelar, transferir, ceder o de otra forma comunicar los datos personales responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable.

- En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el Encargado mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga la información exigida por el artículo 30.2 del RGPD.

- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

- Dar apoyo al Responsable en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda y en la realización de las consultas previas a la Autoridad de Control, cuando proceda.

- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen al Responsable u otro auditor autorizado por este.

- Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD, y el Esquema Nacional de Seguridad que resulte de aplicación que garanticen la seguridad de los datos personales responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

- En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable, así como cumplir con todo lo dispuesto en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD.

- En caso de que el Encargado deba transferir o permitir acceso a datos personales responsabilidad del Responsable a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

- Respetar todas las obligaciones que pudieran corresponderle como encargado del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

 

Quinta. Obligaciones del responsable del tratamiento

 

El Responsable manifiesta y hace constar a los efectos legales oportunos que:

a) En caso de que el tratamiento incluya la recogida de datos personales en su nombre y por su cuenta, establecerá los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados, garantizando que estas instrucciones cumplen con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

b) En caso de que el tratamiento no incluya la recogida de datos personales en nombre y por cuenta del Responsable, los datos personales a los que accederá el Encargado en virtud de esta encomienda, han sido obtenidos y tratados cumpliendo con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

c) Cumple con todas sus obligaciones en materia de protección de datos como responsable del tratamiento y es consciente de que los términos de esta encomienda en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al Responsable del Tratamiento como tal.

d) Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por parte del Encargado del Tratamiento.

 

Sexta. Medidas de seguridad y violación de la seguridad

 

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado del Tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, el Encargado tendrá en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

El Encargado del Tratamiento permitirá y contribuirá a la realización de auditorías e inspecciones, por parte del Responsable o de otro auditor autorizado por él.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto de la Encomienda de referencia, el Encargado garantiza la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos de esta encomienda.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por el Encargado para la prestación de los servicios objeto de la encomienda, este deberá notificar al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, corresponderá al Responsable comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente. Y en cualquier otro caso cuando así sea de aplicación conforme a lo establecido en la normativa vigente.

 

Séptima. Destino de los datos al finalizar la encomienda

 

Una vez cumplida o resuelta la encomienda, el Encargado deberá solicitar al Responsable instrucciones precisas sobre el destino de los datos personales de su responsabilidad, pudiendo elegir este último entre su devolución, remisión a otro prestador de servicios o destrucción íntegra un tercero o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no podrá procederse a su destrucción.

El Encargado podrá conservar, debidamente bloqueados, los datos personales responsabilidad del Responsable, en tanto pudieran derivarse responsabilidades de su relación con él.

 

Octava. Ejercicio de derechos ante el encargado de tratamiento

 

El Encargado deberá dar traslado al Responsable de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por el Encargado con motivo del cumplimiento de la encomienda, a fin de que se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad posible y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolverla.

Asimismo, el Encargado deberá tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciba a través del Responsable, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud, como la ejecución de la tarea encomendada.

 

Novena. Deber de información mutuo

 

Las partes informan a los firmantes de la encomienda de que sus datos personales van a ser tratados con la finalidad estipulada en la encomienda, siendo imprescindible para ello que se aporten sus datos identificativos, el cargo que ostentan, número de DNI o documento equivalente y su firma.

Asimismo, las partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento de la encomienda.

La base jurídica que legitima el tratamiento de los datos de los interesados es la celebración y ejecución de la encomienda. Las partes se comunicarán mutuamente la identidad de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les sea de aplicación.

Los datos serán conservados durante la vigencia de la encomienda y una vez finalizado, durante los plazos establecidos en la legislación vigente con la finalidad de atender a las posibles responsabilidades derivadas de su firma.

En todo caso, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión y oposición, limitación, portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social del Responsable aportando fotocopia de su DNI o documento equivalente e identificando el derecho cuyo ejercicio se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos.

 

Décima. Subencargo del tratamiento

 

Con carácter general el Encargado no podrá subencargar las prestaciones que formen parte del objeto de esta encomienda y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para su normal funcionamiento.

Sin perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar todo o parte de los servicios encargados por el Responsable en los que intervenga el tratamiento de datos personales, deberá comunicarlo previamente y por escrito al Responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subencargar e identificando de forma clara e inequívoca la empresa subencargada y sus datos de contacto. El subencargo podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo establecido.

En este último caso, el subencargado, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el Responsable del Tratamiento.

Corresponde a Encargado del Tratamiento exigir al subencargado el cumplimiento de las mismas obligaciones asumidas por él a través del presente documento y seguirá siendo plenamente responsable ante el Responsable del Tratamiento en lo referente al cumplimiento de las obligaciones.

El Encargado del Tratamiento está obligado a informar al Responsable de cualquier cambio en la incorporación o sustitución de otros subencargados con una antelación de 1 mes, dando así al Responsable la oportunidad de oponerse a dichos cambios.

 

Undécima. Responsabilidad

 

El Encargado será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones de esta encomienda, respondiendo de las infracciones en las que hubiera incurrido personalmente.

Las partes responderán de las infracciones en las que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de ellas.

 

ANEXO II

COMPROMISO DE CONFIDENCIALIDAD Y DEBER DE SECRETO

 

I. Confidencialidad

 

1. El firmante queda expresamente obligado a mantener absoluta confidencialidad y reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento de su función, especialmente los de carácter personal, que no podrá copiar o utilizar con fin distinto al que esté determinado, ni tampoco ceder a otros ni siquiera a efectos de conservación. Esta obligación subsistirá una vez finalizada la relación entre las partes.

 

2. Queda prohibida la salida de información propiedad de la Dirección General de Salud Pública, obtenida de sus sistemas de información o de otras fuentes, por cualquier medio físico o telemático, salvo autorización por escrito del Responsable de dicha información.

 

3. Una vez extinguida la relación con Dirección General de Salud Pública, los datos de carácter personal pertenecientes al mismo que pueda tener bajo su control el abajo firmante, deberá destruirlos o devolverlos, por el método acordado, así como cualquier otro soporte o documento en el que conste algún dato de carácter personal.

 

II. Políticas de seguridad

 

1. El abajo firmante se compromete a cumplir la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que emanen de la citada política, así como las que se determinen en materia de seguridad para el tratamiento de datos de carácter personal. Para su conocimiento, se le proporcionará acceso a la normativa que le sea de aplicación.

 

2. El acceso lógico a los Sistemas de Información de la Dirección General de Salud Pública, se hará con la autorización correspondiente, en la forma que se indique y con las medidas de seguridad que se marquen en cada caso, no pudiendo acceder a datos reales sin la autorización por escrito del Responsable o Encargado del Tratamiento.

 

3. Ante cualquier duda que pueda incidir en la seguridad de los sistemas de Información de la Dirección General de Salud Pública, deberá consultar con su enlace o Responsable en la Dirección General de Salud Pública. La función del enlace será ofrecerle asesoramiento, atender cualquier tipo de consulta o necesidad, transmitir instrucciones, ponerle al corriente de sus cometidos, objetivos, entre otras.

 

III. Propiedad intelectual

 

1. Queda estrictamente prohibido el uso de programas informáticos en los sistemas de información de la Dirección General de Salud Pública sin la correspondiente licencia y/o autorización. Los programas informáticos propiedad de la Dirección General de Salud Pública están protegidos por propiedad intelectual, y por tanto está estrictamente prohibida su reproducción, modificación, cesión o comunicación sin la debida autorización.

 

2. Queda estrictamente prohibido en los sistemas de información de la Dirección General de Salud Pública el uso, reproducción, cesión, transformación o comunicación pública de cualquier otro tipo de obra o invención protegida por la propiedad intelectual sin la debida autorización.

 

IV. Derecho de información

 

1. En cumplimiento de la normativa vigente en materia de protección de datos, se le informa de que los datos personales que se faciliten serán responsabilidad de la Dirección General de Salud Pública, como Responsables del Tratamiento, cuyo Delegado de Protección de Datos (DPD) es el Comité DPD de la Consejería de Sanidad de la Comunidad de Madrid, con dirección en c/ Melchor Fernández Almagro, número 1, Madrid 28029, y cuya finalidad es la contemplada en el presente documento.

 

2. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, de conformidad con lo establecido en el Reglamento (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Con esta finalidad sus datos serán conservados durante los años necesarios para cumplir con las obligaciones estipuladas en la normativa vigente aplicable. Asimismo, se le informa de que los datos no serán comunicados a terceros, salvo en aquellos casos obligados por Ley.

 

3. Podrá ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, en la medida que sean aplicables, a través de comunicación escrita a los Responsables del Tratamiento, en Paseo de la Castellana número 280, Madrid 28047 concretando su solicitud, junto con su DNI o documento equivalente. Asimismo, le informamos de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos.