ACUERDO de 1 de junio de 2022, para la encomienda de
gestión entre la Dirección General de Salud Pública y el Servicio Madrileño de
Salud, a través de la Dirección General de Sistemas de Información y
Equipamientos Sanitarios, para el desarrollo de una nueva aplicación
informática que de soporte a la vigilancia de las enfermedades de declaración
obligatoria en el marco de la Red de Vigilancia Epidemiológica de la Comunidad
de Madrid. ()
De una parte, D.a
, Directora General de Salud Pública, nombrada por Decreto 37/2020, de 13 de
mayo, del Consejo de Gobierno, actuando en virtud de las competencias que le
reconoce el artículo 47 de la Ley
1/1983, de 13 de diciembre, del Gobierno y Administración de la Comunidad
de Madrid, y en el uso de las atribuciones conferidas por el artículo 13 del
Decreto 1/2022, de 19 de enero, del Consejo de Gobierno, por el que se
establece la estructura orgánica de la Consejería de Sanidad.
Y de otra, D.
,
Viceconsejero de Asistencia Sanitaria y Salud Pública y Director General del
Servicio Madrileño de Salud, nombrado mediante Decreto 170/2021, de 7 de julio,
del Consejo de Gobierno, en nombre y representación del Servicio Madrileño de
Salud, actuando en uso de las atribuciones conferidas por el artículo 12 del
Decreto 1/2022, de 19 de enero, del Consejo de Gobierno, por el que se
establece la estructura orgánica de la Consejería de Sanidad, el artículo 1.2
del Decreto 2/2022, de 26 de enero, por el que se establece la estructura
directiva del Servicio Madrileño de Salud, y el artículo 23.2.a) del Decreto
24/2008, de 3 de abril, del Consejo de Gobierno, por el que se establece el
régimen jurídico y de funcionamiento del Servicio Madrileño de Salud,
EXPONEN
Primero
La Ley 16/2003, de 28 de
mayo, de Cohesión y Calidad del Sistema Nacional de Salud, prevé la elaboración
conjunta de estrategias de salud por parte del Ministerio de Sanidad (en su
actual denominación) y los órganos competentes de las Comunidades Autónomas, en
materia de salud pública, y estas actuaciones se encuadran ante la necesidad de
dar respuesta a situaciones de especial riesgo o alarma para la salud pública.
La citada Ley 16/2003
confiere al Consejo Interterritorial del Sistema Nacional de Salud la función
de Conferencia Sectorial en relación con la aprobación de las estrategias de
salud, al ser el órgano permanente de coordinación e información de los servicios
de salud entre ellos y con la Administración del Estado, con la finalidad de
promover la cohesión del sistema Nacional de Salud.
Así, el Consejo
Interterritorial del Sistema Nacional de Salud aprobó, con fecha 13 de octubre
de 2021, el ʺacuerdo de distribución de fondos a las Comunidades y
Ciudades Autónomas para el sistema de Red de Vigilancia en Salud Públicaʺ
con cargo al presupuesto del Ministerio de Sanidad en el marco del componente
18 ʺaumento de capacidades de respuesta ante crisis sanitariasʺ
(C18.I3), del Plan de Recuperación, Transformación y Resiliencia del Gobierno
de España, en el ejercicio presupuestario 2021.
El reparto de estos
fondos se realiza en un 40 % de manera lineal, aplicando un importe mínimo a
cada Comunidad Autónoma y a Ceuta y Melilla, y el 60 % distribuido por
criterios poblacionales. El criterio de distribución es el poblacional según
las cifras del padrón publicadas en el Real Decreto 1147/2020, de 15 de
diciembre, por el que se declaran oficiales las cifras de población resultantes
de la revisión del Padrón municipal referidas al 1 de enero de 2020.
A la Comunidad de Madrid
le corresponde un crédito por importe de 1.388.167,67 euros que corresponden al
proyecto de mejora del sistema de vigilancia en Salud Pública en la Comunidad
de Madrid e integración con otros sistemas asistenciales.
Segundo
En el año 1995, se crea
la red nacional de vigilancia epidemiológica mediante el Real Decreto
2210/1995, de 28 de diciembre, modificándose el sistema de notificación de
enfermedades, transformándolo en la Red nacional de vigilancia epidemiológica,
adecuándose así, a las exigencias de la Unión Europea, al garantizar la
coordinación y el intercambio de la información epidemiológica en forma de
diagnóstico clínico y microbiológico; la detección de situaciones epidémicas,
incluso en enfermedades de baja incidencia; el uso de la información para la
acción; el establecimiento de redes de médicos y laboratorios centinelas a
partir de la red asistencial del Sistema Nacional de Salud y la aplicación de
nuevas tecnologías de telecomunicación.
En la Comunidad de
Madrid, se crea la Red de Vigilancia Epidemiológica de la Comunidad de Madrid,
por Decreto
184/1996, de 19 de diciembre, como reordenación de la vigilancia
epidemiológica en nuestra región, permitiendo abordajes más eficaces y
eficientes de los problemas de salud de la población y una más estrecha
coordinación con otras redes.
Varios de los sistemas
que integran la citada red tienen por objetivo la vigilancia de las
enfermedades transmisibles, en especial las Enfermedades de Declaración
Obligatoria (EDO), entre las que se incluyen la vigilancia de las Infecciones
relacionadas con la asistencia sanitaria (IRAS) y también participan otros
sistemas de vigilancia como la Red de Médicos Centinela.
Tercero
Que la Dirección General
de Salud Pública tiene encomendadas, entre sus competencias, la vigilancia,
análisis y control de las condiciones de salud y sus determinantes, así como de
las enfermedades transmisibles y no transmisibles y su distribución en los
distintos grupos de población, de acuerdo con lo establecido en el Decreto
1/2022, de 19 de enero, del Consejo de Gobierno, por el que se establece la
estructura orgánica de la Consejería de Sanidad.
Que el Servicio Madrileño
de Salud es competente, de conformidad con lo establecido en el artículo 4,
apartado b), del Decreto 24/2008, de 3 de abril, del Consejo de Gobierno, por
el que se establece el régimen jurídico y de funcionamiento del Servicio
Madrileño de Salud para la puesta en marcha de las actuaciones de salud pública
que tengan relación con la atención sanitaria y estén encaminadas a garantizar
los derechos de protección de la salud de la población de la Comunidad de
Madrid, desde una perspectiva comunitaria, en coordinación con otros órganos
con competencia en la materia.
Por su parte, el Decreto
2/2022, de 26 de enero, atribuye a la Dirección General de Sistemas de
Información y Equipamientos Sanitarios, en la letra b) del número 1 del
artículo 8 las competencias en materia de: ʺla implantación de las
aplicaciones informáticas y la garantía de su integración y homogeneidad en el
ámbito sanitarioʺ.
Cuarto
La notificación de las
Enfermedades de Declaración Obligatoria (EDO) constituye una pieza clave de la
citada red de vigilancia epidemiológica, pero el actual sistema informático en
el que se registran tiene importantes déficits para algunas enfermedades, y
únicamente permite la incorporación automática de las notificaciones de los
Centros de Atención Primaria del Servicio Madrileño de Salud.
Por lo tanto, se hace
necesario definir mediante el estudio (requisitos técnicos y análisis
funcional) y posterior desarrollo de una nueva aplicación informática que,
acorde a la tecnología actual, permita tener las herramientas y las funcionalidades
necesarias para ese fin, y que permita la interoperabilidad entre los sistemas
de información ya existentes y los nuevos.
Quinto
Que la Dirección General
de Salud Pública no dispone de los medios materiales ni técnicos para llevar a
efecto el desarrollo de una aplicación informática que sean lo suficientemente
ágiles y eficaces y que permitan materializar, en el plazo establecido por el
Ministerio de Sanidad, todas las actuaciones necesarias, definidas por dicho
Ministerio, y que son objeto de subvención.
La experiencia de la
Dirección General de Sistemas de Información y Equipamientos Sanitarios, así
como los medios estructurales y materiales de que dispone, ofrece garantías
para poder ejecutar las actuaciones previstas en el plazo establecido para
ello, lo que aconseja acudir al instrumento de la encomienda de gestión, de
acuerdo a lo previsto en el artículo 11 de la Ley 40/2015, de 1 de octubre, de
Régimen Jurídico del Sector Público.
En virtud de lo expuesto,
y de conformidad con lo dispuesto en el artículo 11 de la Ley 40/2015, de 1 de
octubre, de Régimen Jurídico del Sector Público, la Dirección General de Salud
Pública y el Servicio Madrileño de Salud,
ACUERDAN
Primero. Objeto de la encomienda
Por el presente Acuerdo,
la Dirección General de Salud Pública encomienda al Servicio Madrileño de
Salud, a través del Dirección General de Sistemas de Información y
Equipamientos Sanitarios, el desarrollo de una nueva aplicación informática que
de soporte a la vigilancia de las enfermedades de declaración obligatoria en el
marco de la Red de Vigilancia Epidemiológica de la Comunidad de Madrid.
Segundo. Comunicaciones y seguimiento
La Dirección General de
Salud Pública, a través de la Subdirección General de Vigilancia en Salud
Pública, dará las instrucciones y establecerá los requisitos o condiciones a la
Dirección General de Sistemas de Información y Equipamientos Sanitarios para la
adecuada realización del objeto encomendado.
La Dirección General de
Salud Pública, a través de la Subdirección General de Vigilancia en Salud
Pública, se encargará de realizar periódicamente el seguimiento y la evaluación
del grado de consecución de los objetivos marcados por el Ministerio de
Sanidad.
Tercero. Obligaciones de las partes
1. El Servicio Madrileño
de Salud, a través de la Dirección General de Sistemas de Información y
Equipamientos Sanitarios se compromete a:
a) Aportar su
conocimiento técnico y experiencia en la arquitectura tecnológica y desarrollo
de aplicaciones informáticas en el ámbito sanitario.
b) Realizar el desarrollo
de la aplicación informática de soporte de la vigilancia de las enfermedades de
declaración obligatoria, conforme a los requisitos funcionales e instrucciones
dadas por la Dirección General de Salud Pública.
c) Justificar económicamente,
en el plazo de tres meses desde la fecha de la transferencia del crédito al
Ente Público, los gastos asociados a la relación de actuaciones realizadas
durante el periodo y estado contable del crédito asignado al presente acuerdo.
d) Facilitar toda la
información que le sea requerida y someterse a las actuaciones de comprobación
que puedan realizarse por la Dirección General de Salud Pública, y a las de
control de la actividad económico-financiera que correspondan a la Intervención
y otros órganos, dentro de la gestión de fondos provenientes del Plan de
Recuperación, Transformación y Resiliencia.
A tales efectos, deberá
admitir la presencia de las personas que, formalmente sean designadas por el
titular de la Dirección General de Salud Pública, para realizar el seguimiento
y evaluación del estado de la encomienda y de los fondos asignados,
facilitándoles cuanta información y datos contables o de otro tipo, le sean
solicitados a tal efecto.
e) Poner a disposición de
la Dirección General de Salud Pública la información necesaria para la
cumplimentación del seguimiento y evaluación requeridos en el marco del Plan de
Recuperación, Transformación y Resiliencia.
f) Cumplir los protocolos
establecidos para la ejecución del proyecto subvencionado con fondos provenientes
del ʺPlan de Recuperación, Transformación y Resiliencia -Financiado por la
Unión Europea- NextGenerationEUʺ, y suscribir los documentos de
declaración y compromiso que se requieran a tal fin por parte de los
participantes en el proyecto.
g) Comunicar a la
Dirección General de Salud Pública cualquier alteración que afecte
sustancialmente a la ejecución de las actuaciones previstas en el presente
acuerdo.
2. La Dirección General
de Salud Pública se compromete a:
a) Facilitar toda la
información técnica y administrativa y requisitos funcionales que resulten
precisos para el cumplimiento del objetivo de la encomienda.
b) Realizar la aportación
del fondo asignado al cumplimiento de la encomienda.
c) Establecer las
actuaciones y el cronograma, para la consecución del objeto de la encomienda de
gestión.
d) Realizar el
seguimiento, la evaluación del estado de la encomienda de gestión y la
comprobación de las actuaciones realizadas para garantizar una correcta
adecuación a las finalidades perseguidas y un debido uso del fondo percibido,
que se llevará a cabo por la persona formalmente designada por el titular de la
Dirección General de Salud Pública.
e) Justificar ante el
Ministerio de Sanidad la realización del proyecto y la gestión de los fondos
asignados del Plan de Recuperación, Transformación y Resiliencia.
Cuarto. Presupuesto y pago ()
El presupuesto que se
asigna al objeto de la encomienda procede de los fondos asignados a la
Comunidad de Madrid por el Ministerio de Sanidad para el ejercicio 2021,
procedente de los fondos del Plan de Recuperación, Transformación y Resiliencia
del Gobierno de España, en el marco del componente 18 aumento de capacidades de respuesta ante
crisis sanitarias (C18.I3)
(Plan de Recuperación, Transformación y Resiliencia, financiado por la Unión
Europea-NextGenerationEU), en relación con el Proyecto de Mejora del sistema de vigilancia en
Salud Pública en la Comunidad de Madrid e integración con otros sistemas de
información asistenciales.
A tal efecto, para el
desarrollo del objeto encomendado la Dirección General de Salud Pública
procederá a realizar una transferencia de crédito al Servicio Madrileño de
Salud (SERMAS) mediante modificación presupuestaria, por importe total de
1.388.167,67 euros, desde las aplicaciones presupuestarias 313B/22703 y
313B/65004 del centro gestor 170120000, a la aplicación presupuestaria
311P/22703 del centro gestor 171188100.
Quinto. Titularidad de la competencia
La encomienda de gestión
no supone cesión de la titularidad de la competencia ni de los elementos
sustantivos de su ejercicio, siendo responsabilidad del órgano encomendante
dictar cuantos actos o resoluciones de carácter jurídico den soporte o en los
que se integre la concreta actividad material objeto de encomienda.
Sexto. Protección de datos, confidencialidad y
transparencia
Las partes se comprometen
a cumplir las previsiones contenidas en la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos
digitales, así como en el Reglamento (UE) 2016/679, de 27 de abril de 2016 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento de Protección de Datos), así como la normativa
posterior que lo desarrolle o modifique.
Los datos personales que
se recaben u obtengan las partes en el desarrollo y aplicación de la
encomienda, serán tratados y utilizados de conformidad con la normativa
vigente.
En particular, las partes
se comprometen a respetar el deber de secreto, y las limitaciones en su caso
marcadas por la normativa de aplicación, sobre cualquier información a la que
se tenga acceso en la realización de actividades objeto de esta encomienda,
salvo aquella información que deba ser pública según lo establecido en la Ley
19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y
buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de
Participación de la Comunidad de Madrid.
El tratamiento de los
datos queda sometido a la mencionada normativa, así como a la vigente en cada
momento, de conformidad con los Anexos I y II de esta encomienda.
Séptimo. Duración de la encomienda
La presente encomienda
surtirá efectos desde el día de su publicación en el BOLETÍN OFICIAL DE LA
COMUNIDAD DE MADRID, y estará vigente hasta el 31 de marzo de 2023 (), o hasta su completa ejecución, si el
objeto de la misma se alcanzará con anterioridad a dicha fecha, pudiendo
prorrogarse, de ser necesario, por periodos de un año.
ANEXO I
ACUERDO DE ENCARGO DE TRATAMIENTO
En el presente acuerdo
las partes fijan formalmente y por escrito los términos y condiciones para
regular el tratamiento de datos personales y la confidencialidad de la
información suministrada y creada entre ellas.
Tendrá la consideración
de información confidencial toda la información susceptible de ser revelada por
escrito, de palabra o por cualquier otro medio o soporte, tangible o
intangible, actualmente conocido o que posibilite el estado de la técnica en el
futuro, intercambiada como consecuencia de esta encomienda.
Las partes se comprometen
a mantener el compromiso de confidencialidad respecto a la información y material
facilitado y recibido en virtud de la presente encomienda de forma indefinida
tras su finalización.
CONFIDENCIALIDAD
Las partes se obligan con
respecto a la información y material que hayan podido recibir como consecuencia
de esta encomienda a:
a) Utilizar la
información de forma reservada.
b) No divulgar ni
comunicar la información facilitada o recibida, salvo resolución motivada en
los términos establecidos en la Ley 19/2013, de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno, y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de
Madrid.
c) Impedir la copia o
revelación de esa información a terceros, salvo que goce de aprobación escrita
de las partes y únicamente en los términos de tal aprobación.
d) Se restringirá el
acceso a la información a sus empleados y colaboradores, salvo en la medida en
que razonablemente puedan necesitarla para el cumplimiento de sus tareas
acordadas.
e) No utilizar la
información o fragmentos de ésta para fines distintos de la ejecución de esta
encomienda.
f) Cumplir con todos los
términos fijados en el presente acuerdo y muy especialmente aquellos relativos
a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y
obligación de secreto, manteniendo esta confidencialidad y evitando revelar la
información a toda persona que no sea empleado o subcontratado.
Las partes serán
responsables ante el incumplimiento de esta obligación, ya sea por sus
empleados, voluntarios o por subcontratados, etc.
CLÁUSULAS
Primera. Responsable y encargado del tratamiento
La Dirección General de
Salud Pública tendrá la consideración de Responsable del Tratamiento y el
Servicio Madrileño de Salud, a través de la Dirección General de Sistemas de
Información y Equipamientos Sanitarios, tendrá la consideración de Encargado
del Tratamiento, conforme a lo establecido en los artículos 28 y 29 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (en adelante, RGPD), así como en el
artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales, y en el resto de
normativa vigente en la materia.
En consecuencia, el
acceso a datos personales en el marco de esta encomienda se realiza con el
único fin de permitir una adecuada prestación de los servicios y no se
considerará como una cesión o comunicación de datos.
Segunda. Definiciones
Los términos específicos
en materia de protección de datos serán interpretados conforme a las
definiciones establecidas en el artículo 4 del RGPD.
Tercera. Deber de secreto
El Encargado del
Tratamiento (en adelante, el Encargado) se obliga a guardar la máxima reserva y
secreto sobre la información clasificada como confidencial facilitada por el
Responsable del Tratamiento (en adelante, el Responsable) con motivo de la
prestación de servicios objeto de la encomienda.
Se considerará
información confidencial cualquier información a la que el Encargado acceda en
virtud de la encomienda, en especial la información y datos personales a los
que haya accedido o acceda durante su ejecución, salvo aquella información que
deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de
transparencia, acceso a la información pública y buen gobierno y la Ley
10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de
Madrid.
La obligación de
confidencialidad tendrá carácter indefinido, manteniéndose en vigor con
posterioridad a la finalización por cualquier causa de la relación entre las
partes.
El Encargado será
responsable de que su personal, colaboradores, voluntarios y en general, todas
las personas de su responsabilidad que tengan acceso a la información
confidencial y a los datos personales del Responsable, respeten la
confidencialidad de la información, así como las obligaciones relativas al
tratamiento de datos personales, aun después de finalizar su relación con el
Encargado. Por tanto, el Encargado realizará cuantas advertencias y suscribirá
cuantos documentos sean necesarios con dichas personas, con el fin de asegurar
el cumplimiento de estas obligaciones.
El Encargado mantendrá a
disposición del Responsable la documentación acreditativa del cumplimiento de
la obligación establecida en el párrafo anterior.
Cuarta. Obligaciones del encargado del
tratamiento
El Encargado del
tratamiento asume las siguientes obligaciones:
- Acceder a los datos
personales responsabilidad del Responsable únicamente cuando sea imprescindible
para el buen desarrollo de los servicios.
- Tratar los datos
conforme a las instrucciones que reciba del Responsable.
- En caso de que el
tratamiento incluya la recogida de datos personales en nombre y por cuenta del
Responsable, el Encargado deberá seguir los procedimientos e instrucciones que
reciba de él, especialmente en lo relativo al deber de información y, en su
caso, a la obtención del consentimiento de los interesados.
- Si el Encargado
considera que alguna de las instrucciones recibidas infringe el RGPD, la
LOPDGDD o cualquier otra disposición en materia de protección de datos de la
Unión o de los Estados miembros, informará inmediatamente al Responsable.
- No destinar, aplicar o
utilizar los datos personales del Responsable con fin distinto del indicado en
la encomienda o de cualquier otra forma que suponga un incumplimiento de sus
instrucciones.
- Asumir la condición de
responsable del tratamiento en caso de que destine los datos a otra finalidad
distinta del cumplimiento del objeto de la encomienda, los comunique o los
utilice incumpliendo sus estipulaciones o las obligaciones de la normativa
vigente, respondiendo de las infracciones en las que hubiera incurrido
personalmente.
- El Encargado del
Tratamiento, así como cualquier empleado o voluntario del mismo se compromete a
cumplir la política de seguridad de la información en el ámbito de la
Administración Electrónica y de los sistemas de información de la Consejería de
Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27 de
junio, y todas las políticas, normas y procedimientos que emanen del citado
código, así como las que se determinen en materia de seguridad para el
tratamiento de datos personales.
- No permitir el acceso a
los datos personales responsabilidad del Responsable a ningún empleado o
persona que no tenga la necesidad de conocerlos para la prestación de los
servicios.
- No revelar, transferir,
ceder o de otra forma comunicar los datos personales responsabilidad del
Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o
mediante acceso informático, ni siquiera para su conservación, a ningún
tercero, salvo que exista autorización o instrucción previa del Responsable.
- En caso de estar
obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el Encargado
mantendrá un registro de todas las categorías de actividades de tratamiento
efectuadas por cuenta del Responsable, que contenga la información exigida por
el artículo 30.2 del RGPD.
- Garantizar la formación
necesaria en materia de protección de datos personales de las personas
autorizadas para tratar datos personales.
- Dar apoyo al
Responsable en la realización de las evaluaciones de impacto relativas a la
protección de datos, cuando proceda y en la realización de las consultas
previas a la Autoridad de Control, cuando proceda.
- Poner a disposición del
Responsable toda la información necesaria para demostrar el cumplimiento de sus
obligaciones, así como para la realización de las auditorías o las inspecciones
que realicen al Responsable u otro auditor autorizado por este.
- Adoptar y aplicar las
medidas de seguridad estipuladas en el artículo 32 del RGPD, y el Esquema
Nacional de Seguridad que resulte de aplicación que garanticen la seguridad de
los datos personales responsabilidad del Responsable y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que estén
expuestos, ya provengan de la acción humana o del medio físico o natural.
- En caso de estar
obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la
LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y
datos de contacto al Responsable, así como cumplir con todo lo dispuesto en los
artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD.
- En caso de que el
Encargado deba transferir o permitir acceso a datos personales responsabilidad
del Responsable a un tercero en virtud del Derecho de la Unión o de los Estados
miembros que le sea aplicable, informará al Responsable de esa exigencia legal
de manera previa, salvo que estuviese prohibido por razones de interés público.
- Respetar todas las
obligaciones que pudieran corresponderle como encargado del tratamiento con
arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación
complementaria que le fuera igualmente aplicable.
Quinta. Obligaciones del responsable del
tratamiento
El Responsable manifiesta
y hace constar a los efectos legales oportunos que:
a) En caso de que el
tratamiento incluya la recogida de datos personales en su nombre y por su
cuenta, establecerá los procedimientos correspondientes a la recogida de los
datos, especialmente en lo relativo al deber de información y, en su caso, a la
obtención del consentimiento de los interesados, garantizando que estas
instrucciones cumplen con todas las prescripciones legales y reglamentarias que
exige la normativa vigente en materia de protección de datos.
b) En caso de que el
tratamiento no incluya la recogida de datos personales en nombre y por cuenta
del Responsable, los datos personales a los que accederá el Encargado en virtud
de esta encomienda, han sido obtenidos y tratados cumpliendo con todas las
prescripciones legales y reglamentarias que exige la normativa vigente en
materia de protección de datos.
c) Cumple con todas sus
obligaciones en materia de protección de datos como responsable del tratamiento
y es consciente de que los términos de esta encomienda en nada alteran ni
sustituyen las obligaciones y responsabilidades que sean atribuibles al
Responsable del Tratamiento como tal.
d) Supervisar el
tratamiento y el cumplimiento de la normativa de protección de datos por parte
del Encargado del Tratamiento.
Sexta. Medidas de seguridad y violación de la
seguridad
Teniendo en cuenta el
estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el
contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas físicas, el
Encargado del Tratamiento aplicará medidas técnicas y organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que en su caso
incluya, entre otros:
a) La seudonimización y
el cifrado de datos personales.
b) La capacidad de
garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento, así como la
disponibilidad y el acceso a los datos personales de forma rápida en caso de
incidente físico o técnico.
c) Un proceso de
verificación, evaluación y valoración regulares de la eficacia de las medidas
técnicas y organizativas para garantizar la seguridad del tratamiento.
d) Un catálogo de medidas
de seguridad reconocido en normativas o estándares de seguridad de la
información.
Al evaluar la adecuación
del nivel de seguridad, el Encargado tendrá en cuenta los riesgos que presente
el tratamiento de datos, en particular como consecuencia de la destrucción,
pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a esos datos.
El Encargado del
Tratamiento permitirá y contribuirá a la realización de auditorías e
inspecciones, por parte del Responsable o de otro auditor autorizado por él.
Asimismo, en caso de
modificación de la normativa vigente en materia de protección de datos o de
otra normativa relacionada y que resultase aplicable al tratamiento objeto de
la Encomienda de referencia, el Encargado garantiza la implantación y
mantenimiento de cualesquiera otras medidas de seguridad que le fueran
exigibles, sin que ello suponga una modificación de los términos de esta
encomienda.
En caso de violación de
la seguridad de los datos personales en los sistemas de información utilizados
por el Encargado para la prestación de los servicios objeto de la encomienda,
este deberá notificar al Responsable, sin dilación indebida, y en cualquier
caso antes del plazo máximo de 24 horas hábiles, las violaciones de la
seguridad de los datos personales a su cargo de las que tenga conocimiento,
juntamente con toda la información relevante para la documentación y
comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del
RGPD.
En tal caso,
corresponderá al Responsable comunicar las violaciones de seguridad de los
datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo
establecido en la normativa vigente. Y en cualquier otro caso cuando así sea de
aplicación conforme a lo establecido en la normativa vigente.
Séptima. Destino de los datos al finalizar la
encomienda
Una vez cumplida o
resuelta la encomienda, el Encargado deberá solicitar al Responsable
instrucciones precisas sobre el destino de los datos personales de su
responsabilidad, pudiendo elegir este último entre su devolución, remisión a
otro prestador de servicios o destrucción íntegra un tercero o destrucción
íntegra, siempre que no exista previsión legal que exija la conservación de los
datos, en cuyo caso no podrá procederse a su destrucción.
El Encargado podrá
conservar, debidamente bloqueados, los datos personales responsabilidad del
Responsable, en tanto pudieran derivarse responsabilidades de su relación con
él.
Octava. Ejercicio de derechos ante el encargado
de tratamiento
El Encargado deberá dar
traslado al Responsable de cualquier solicitud de ejercicio del derecho de
acceso, rectificación, supresión y oposición, limitación del tratamiento,
portabilidad de los datos y a no ser objeto de decisiones individualizadas
automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por
el Encargado con motivo del cumplimiento de la encomienda, a fin de que se
resuelva en los plazos establecidos por la normativa vigente.
El traslado de la
solicitud al Responsable deberá hacerse con la mayor celeridad posible y en
ningún caso más allá del día laborable siguiente al de la recepción de la
solicitud, juntamente, en su caso, con otras informaciones que puedan ser
relevantes para resolverla.
Asimismo, el Encargado
deberá tramitar cualquier instrucción relativa a derechos de acceso,
rectificación, supresión y oposición, limitación del tratamiento, portabilidad
de los datos y a no ser objeto de decisiones individualizadas automatizadas,
que reciba a través del Responsable, a la mayor celeridad posible, y siempre
dentro del plazo máximo de dos días hábiles a contar desde la recepción de la
solicitud, confirmando por escrito tanto la recepción de la solicitud, como la
ejecución de la tarea encomendada.
Novena. Deber de información mutuo
Las partes informan a los
firmantes de la encomienda de que sus datos personales van a ser tratados con
la finalidad estipulada en la encomienda, siendo imprescindible para ello que
se aporten sus datos identificativos, el cargo que ostentan, número de DNI o
documento equivalente y su firma.
Asimismo, las partes
garantizan cumplir con el deber de información con respecto a sus empleados
cuyos datos personales sean comunicados entre las partes para el mantenimiento
y cumplimiento de la encomienda.
La base jurídica que
legitima el tratamiento de los datos de los interesados es la celebración y
ejecución de la encomienda. Las partes se comunicarán mutuamente la identidad
de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les
sea de aplicación.
Los datos serán
conservados durante la vigencia de la encomienda y una vez finalizado, durante
los plazos establecidos en la legislación vigente con la finalidad de atender a
las posibles responsabilidades derivadas de su firma.
En todo caso, los
interesados podrán ejercer sus derechos de acceso, rectificación, supresión y
oposición, limitación, portabilidad ante la parte que corresponda a través de
comunicación por escrito al domicilio social del Responsable aportando
fotocopia de su DNI o documento equivalente e identificando el derecho cuyo
ejercicio se solicita. Asimismo, en caso de considerar vulnerado su derecho a
la protección de datos personales, podrán interponer una reclamación ante la
Agencia Española de Protección de Datos.
Décima. Subencargo del tratamiento
Con carácter general el
Encargado no podrá subencargar las prestaciones que formen parte del objeto de
esta encomienda y que comporten el tratamiento de datos personales, salvo los
servicios auxiliares necesarios para su normal funcionamiento.
Sin perjuicio de lo
anterior, en caso de que el Encargado necesitara subencargar todo o parte de
los servicios encargados por el Responsable en los que intervenga el
tratamiento de datos personales, deberá comunicarlo previamente y por escrito
al Responsable, con una antelación de 1 mes, indicando los tratamientos que se
pretende subencargar e identificando de forma clara e inequívoca la empresa
subencargada y sus datos de contacto. El subencargo podrá llevarse a cabo si el
Responsable no manifiesta su oposición en el plazo establecido.
En este último caso, el
subencargado, que también tendrá la condición de encargado del tratamiento,
está obligado igualmente a cumplir las obligaciones establecidas en este
documento para el Encargado del Tratamiento y las instrucciones que dicte el
Responsable del Tratamiento.
Corresponde a Encargado del
Tratamiento exigir al subencargado el cumplimiento de las mismas obligaciones
asumidas por él a través del presente documento y seguirá siendo plenamente
responsable ante el Responsable del Tratamiento en lo referente al cumplimiento
de las obligaciones.
El Encargado del
Tratamiento está obligado a informar al Responsable de cualquier cambio en la
incorporación o sustitución de otros subencargados con una antelación de 1 mes,
dando así al Responsable la oportunidad de oponerse a dichos cambios.
Undécima. Responsabilidad
El Encargado será
considerado responsable del tratamiento en el caso de que destine los datos a
otras finalidades, los comunique o los utilice incumpliendo las estipulaciones
de esta encomienda, respondiendo de las infracciones en las que hubiera
incurrido personalmente.
Las partes responderán de
las infracciones en las que hubiesen incurrido personalmente, manteniendo
indemne a la parte contraria frente a cualquier perjuicio que se derivase de
ellas.
ANEXO II
COMPROMISO DE CONFIDENCIALIDAD Y DEBER
DE SECRETO
I. Confidencialidad
1. El firmante queda
expresamente obligado a mantener absoluta confidencialidad y reserva sobre
cualquier dato que pudiera conocer con ocasión del cumplimiento de su función,
especialmente los de carácter personal, que no podrá copiar o utilizar con fin
distinto al que esté determinado, ni tampoco ceder a otros ni siquiera a
efectos de conservación. Esta obligación subsistirá una vez finalizada la
relación entre las partes.
2. Queda prohibida la
salida de información propiedad de la Dirección General de Salud Pública,
obtenida de sus sistemas de información o de otras fuentes, por cualquier medio
físico o telemático, salvo autorización por escrito del Responsable de dicha
información.
3. Una vez extinguida la
relación con Dirección General de Salud Pública, los datos de carácter personal
pertenecientes al mismo que pueda tener bajo su control el abajo firmante,
deberá destruirlos o devolverlos, por el método acordado, así como cualquier
otro soporte o documento en el que conste algún dato de carácter personal.
II. Políticas de seguridad
1. El abajo firmante se
compromete a cumplir la política de seguridad de la información en el ámbito de
la Administración Electrónica y de los sistemas de información de la Consejería
de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27
de junio, y todas las políticas, normas y procedimientos que emanen de la
citada política, así como las que se determinen en materia de seguridad para el
tratamiento de datos de carácter personal. Para su conocimiento, se le
proporcionará acceso a la normativa que le sea de aplicación.
2. El acceso lógico a los
Sistemas de Información de la Dirección General de Salud Pública, se hará con
la autorización correspondiente, en la forma que se indique y con las medidas
de seguridad que se marquen en cada caso, no pudiendo acceder a datos reales
sin la autorización por escrito del Responsable o Encargado del Tratamiento.
3. Ante cualquier duda
que pueda incidir en la seguridad de los sistemas de Información de la
Dirección General de Salud Pública, deberá consultar con su enlace o
Responsable en la Dirección General de Salud Pública. La función del enlace
será ofrecerle asesoramiento, atender cualquier tipo de consulta o necesidad,
transmitir instrucciones, ponerle al corriente de sus cometidos, objetivos,
entre otras.
III. Propiedad intelectual
1. Queda estrictamente
prohibido el uso de programas informáticos en los sistemas de información de la
Dirección General de Salud Pública sin la correspondiente licencia y/o
autorización. Los programas informáticos propiedad de la Dirección General de
Salud Pública están protegidos por propiedad intelectual, y por tanto está
estrictamente prohibida su reproducción, modificación, cesión o comunicación
sin la debida autorización.
2. Queda estrictamente
prohibido en los sistemas de información de la Dirección General de Salud
Pública el uso, reproducción, cesión, transformación o comunicación pública de
cualquier otro tipo de obra o invención protegida por la propiedad intelectual
sin la debida autorización.
IV. Derecho de información
1. En cumplimiento de la
normativa vigente en materia de protección de datos, se le informa de que los
datos personales que se faciliten serán responsabilidad de la Dirección General
de Salud Pública, como Responsables del Tratamiento, cuyo Delegado de
Protección de Datos (DPD) es el Comité DPD de la Consejería de Sanidad de la
Comunidad de Madrid, con dirección en c/ Melchor Fernández Almagro, número 1,
Madrid 28029, y cuya finalidad es la contemplada en el presente documento.
2. El tratamiento es
necesario para el cumplimiento de una obligación legal aplicable al responsable
del tratamiento, de conformidad con lo establecido en el Reglamento (UE) 2016/679,
de 27 de abril de 2016 del Parlamento Europeo y del Consejo, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE. Con esta finalidad sus datos serán conservados durante los
años necesarios para cumplir con las obligaciones estipuladas en la normativa
vigente aplicable. Asimismo, se le informa de que los datos no serán
comunicados a terceros, salvo en aquellos casos obligados por Ley.
3. Podrá ejercer sus
derechos de acceso, rectificación, supresión, oposición, limitación del
tratamiento y portabilidad, en la medida que sean aplicables, a través de
comunicación escrita a los Responsables del Tratamiento, en Paseo de la
Castellana número 280, Madrid 28047 concretando su solicitud, junto con su DNI
o documento equivalente. Asimismo, le informamos de la posibilidad de presentar
una reclamación ante la Agencia Española de Protección de Datos.
Este documento no tiene valor jurídico, solo
informativo. Los textos con valor jurídico son los de la publicación oficial.