Con fecha 12 de enero de 2022 se ha suscrito el Convenio entre el Instituto Social de la Marina y la Consellería de Sanidad de la Xunta de Galicia en el ámbito de la cesión o comunicación de datos de carácter personal y el acceso a los sistemas de información necesarios para la realización de los reconocimientos médicos de embarque marítimo y, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado Convenio, que figura como anexo de esta Resolución.
Madrid, 13 de enero de 2022.–La Secretaria General Técnica, Iría Álvarez Besteiro.
ANEXO
Convenio entre el Instituto Social de la Marina y la Consellería de Sanidad de la Xunta de Galicia en el ámbito de la cesión o comunicación de datos de carácter personal y el acceso a los sistemas de información necesarios para la realización de los reconocimientos médicos de embarque marítimo
REUNIDOS
De una parte, el Instituto Social de la Marina, representado por la señora Directora del Instituto Social de la Marina, doña Elena Martínez Carqués, nombrada por Orden ISM/986/2021, de 7 de septiembre del Ministro de Inclusión, Seguridad Social y Migraciones, actuando en nombre y representación del Instituto, en virtud de las competencias que le atribuye el artículo 7.2 del Real Decreto 504/2011, de 8 de abril, de estructura orgánica y funciones del Instituto Social de la Marina, y de acuerdo, con lo señalado en el artículo 48.2 de la Ley 40/2015, de 1 octubre, de Régimen Jurídico del Sector Público.
De otra parte, don Julio García Comesaña, conselleiro de Sanidad y presidente del Servizo Galego de Saúde cargo para el que fue nombrado por Decreto 112/2020, de 6 de setiembre, por el que se nombran los titulares de las vicepresidencias e consellerías de la Xunta de Galicia de acuerdo con lo establecido en el artículo 34 de la Ley 1/1983, de 22 de febrero, de normas reguladoras de la Xunta y de su presidencia y de conformidad con los Decretos 136/2019 e 137/2019, de 10 de octubre, por los que se establecen las estructuras orgánicas de la Consellería de Sanidad y del Servizo Galego de Saúde, respectivamente, y de conformidad con lo establecido en la Ley 4/2006, del 30 de junio, de Transparencia y Buenas Prácticas en la Administración Pública Gallega así como con en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Ambas partes se reconocen mutuamente la capacidad jurídica suficiente para suscribir el presente Convenio y
MANIFIESTAN
1. El Instituto Social de la Marina (Entidad dependiente de la Secretaría de Estado de la Seguridad Social y Pensiones, del Real Decreto 2/2020, de 10 de enero Real Decreto 497/2020, de 28 de abril del Ministerio de Inclusión, Seguridad Social y Migraciones) tiene atribuidas como competencias propias, entre otras, las relativas a la realización de los reconocimientos médicos de embarque marítimo (RMEM) de acuerdo con la normativa española específica y con los convenios de la Organización Internacional del Trabajo ratificados por España, conforme a lo establecido en el Real Decreto 504/2011, de 8 de abril, de estructura orgánica y funciones del Instituto Social de la Marina, y en el Real Decreto 1696/2007, de 14 de diciembre, por el que se regulan los reconocimientos médicos de embarque marítimo, que permiten el enrole para el ejercicio profesional a bordo de un buque de bandera española. Así mismo, la Ley 47/2015, de 21 de octubre, reguladora de la protección social de las personas trabajadoras del sector marítimo-pesquero, en su artículo 39 recoge, dentro de la protección social específica de las personas trabajadoras del sector marítimo-pesquero, en su apartado a) la realización de los reconocimientos médicos de embarque marítimo y, en relación con el artículo 42, que determina que la entidad competente, como organismo encargado de la atención social del sector marítimo-pesquero, es el Instituto Social de la Marina.
2. La práctica de los RMEM constituye, de acuerdo con la citada normativa que los regula, una actividad dentro del ámbito preventivo de los riesgos laborales similar a los exámenes de salud recogidos en el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales y sus normas de desarrollo. Su propósito es detectar cualquier enfermedad que pueda presentar el trabajador y agravarse especialmente con el trabajo en el mar, o pueda suponer un riesgo para el resto de la tripulación, o bien pueda incluso poner en peligro la navegación marítima.
3. El Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración recoge el acceso, preferentemente por vía telemática, de los médicos del Instituto Social de la Marina, a la documentación clínica de atención primaria y especializada de los trabajadores del sistema de la Seguridad Social con el objeto de que dispongan de la información necesaria respecto de los trabajadores a los que realizan los preceptivos reconocimientos médicos de embarque marítimo que tienen por objeto garantizar que las condiciones psicofísicas de estos sean compatibles con sus puestos de trabajo.
4. Por su parte, la Consellería de Sanidad tiene los objetivos fundamentales –entre otros– de participar en la definición de las prioridades de la atención sanitaria basándose en las necesidades de salud de la población, y de dar efectividad al catálogo de prestaciones y servicios que se ponen al servicio de la población con la finalidad de proteger su salud.
5. Para desarrollar más eficazmente su gestión, la Consellería de Sanidad puede formalizar acuerdos, convenios u otras fórmulas de gestión integrada o compartida con otras entidades –públicas o privadas– encaminados a lograr la coordinación óptima para aprovechar mejor los recursos sanitarios disponibles.
6. En este sentido, ambas partes están interesadas en establecer una línea prioritaria de colaboración en el ámbito de la cesión de datos de carácter personal y el acceso a los sistemas de información necesarios para cumplir las funciones encomendadas al Instituto Social de la Marina relativas a los reconocimientos médicos de embarque marítimo.
7. Con esta finalidad, el Instituto Social de la Marina podrá tener acceso a la historia clínica electrónica gestionada mediante el sistema de información corporativo denominado IANUS, titularidad de la Consellería de Sanidad y el Servizo Galego de Saúde. La consulta de esta información de carácter sanitario, que forma del Registro de las Actividades de Tratamiento de la Consellería de Sanidad y del Servizo Galego de Saúde, y que se publicitan en http://www.sergas.gal/protecciondedatos, permitirá obtener unos resultados más eficaces en materia de salud laboral y una más eficiente protección de la salud de los trabajadores que quieren desarrollar su actividad a bordo de un buque.
8. Que por lo expuesto, ambas partes están interesadas en suscribir el presente convenio de cesión de datos al amparo de los artículo 8 y 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y del artículo 9 del Reglamento Europeo de Protección de Datos 2016/679 del Parlamento Europeo; de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y deberes en materia de información y documentación clínica y los criterios al respecto previstos por la legislación autonómica: Ley 8/2008, de 10 de julio, de salud de Galicia; la Ley 3/2001, de 28 de marzo, reguladora del consentimiento informado y de la historia clínica de los pacientes, modificada por la Ley 3/2005, de 7 de marzo; el Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica, modificado por el Decreto 164/2013, de 24 de octubre y Decreto 168/2014, de 18 de diciembre; y por el resto de la normativa de desarrollo.
9. La Ley General de la Seguridad Social, en su artículo 71.3 prevé que los médicos de sanidad marítima adscritos al Instituto Social de la Marina, para llevar a cabo los reconocimientos médicos de embarque marítimo, tendrán acceso electrónico y en papel a la historia clínica de dichos trabajadores, existente en los servicios públicos de salud, en las mutuas colaboradoras con la Seguridad Social, en las empresas colaboradoras y en los centros sanitarios privados, sin que sea necesario recabar el consentimiento del interesado, de conformidad con lo dispuesto en los artículos 6.1.e) y 9.2.h), del Reglamento ( UE 2016/679 ) del Parlamento y el Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos ) y artículos 8 y 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Por todo ello formalizan este convenio de acuerdo con las siguientes.
CLÁUSULAS
Primera. Objeto del Convenio.
El objeto de este convenio es articular la cesión de datos de carácter personal y el acceso al sistema IANUS para cumplir las funciones encomendadas al Instituto Social de la Marina relativas a los reconocimientos médicos de embarque marítimo, permitiendo el acceso a los datos personales relativos a antecedentes sanitarios necesarios para obtener unos resultados más eficaces en materia de salud laboral y de protección de la salud de los/as trabajadores/as que van a desarrollar su actividad laboral embarcados. Tal pretensión supone un tratamiento de datos de carácter personal en forma de cesión o comunicación por transmisión, legitimada por el cumplimiento de una obligación legal en base al artículo 71.3 de la Ley General de la Seguridad Social, aprobada por el Real Decreto Legislativo 8/2015,de 30 de octubre (LGSS).
Segunda. Actividades y compromisos entre las partes.
2.1 El Instituto Social de la Marina se obliga, como encargado del tratamiento de datos a la observancia de las disposiciones de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales –artículo 28– y del Reglamento Europeo de Protección de datos 2016/679.
Dado que el convenio implica el acceso del Instituto Social de la Marina a datos de carácter personal de cuyo tratamiento es responsable la Consellería de Sanidad, el Instituto Social de la Marina tendrá la consideración de encargado del tratamiento. El acceso a los datos contenidos en IANUS por parte de los profesionales sanitarios del Instituto Social de la Marina no se considerará comunicación de datos, según lo previsto en el artículo 28 del RGPD. Tendrá dicha consideración de comunicación el tratamiento ulterior de los datos accedidos a través de IANUS dentro de los sistemas de gestión objeto de este convenio de los que es responsable de tratamiento el Instituto Social de la Marina.
2.2 El Instituto Social de la Marina podrá tener acceso y tratar los datos de carácter personal contenidos en el sistema IANUS, siempre que ello resulte imprescindible para la ejecución de los trabajos, actividades y/o de las obligaciones contraídas en virtud del presente convenio, y en todo caso limitándose a la información de carácter sanitario de los candidatos que deseen ejercer una actividad profesional a bordo de un buque de bandera española.
2.3 El Instituto Social de la Marina y las personas que se encarguen del tratamiento pueden tener acceso a datos de carácter personal reales y no sometidos a ningún tipo de disociación. En particular, será necesario acceder a datos relativos a la salud de los ciudadanos, que son datos protegidos especialmente de conformidad con lo previsto en la Ley Orgánica 3/2018, de 5 de diciembre, y con el Reglamento Europeo de Protección de Datos 2016/679.
Cuando las personas que, por cuenta del Instituto Social de la Marina, accedan a datos de carácter personal, deben hacerlo de la manera siguiente y con estas condiciones:
1. El acceso debe entenderse siempre subsumido dentro de la categoría de cesión de datos consistente en el tratamiento de datos personales mediante el procedimiento de consulta y extracción, legitimado por el cumplimiento de una obligación legal en base al artículo 71.3 de la LGSS, concretamente el ejercicio de funciones encomendadas, todo ello conforme a lo dispuesto en los artículos 6.1.c), 6.1.e) y 9.2.h) del Reglamento (UE) 2016/679 y artículos 8 y 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales.
2. A los efectos del acceso y del tratamiento, el Instituto Social de la Marina queda obligado con carácter general por el deber de confidencialidad y seguridad de los datos de carácter personal en los términos del artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre.
3. Con carácter específico, en todas las previsiones de las actividades que forman parte del ejercicio de sus funciones el Instituto Social de la Marina está sujeto a las disposiciones siguientes, que concretan de conformidad con Ley Orgánica 3/2018, de 5 de diciembre y disposiciones de aplicación los requisitos y las condiciones que deben cumplir los sistemas y las personas que participen en el tratamiento de los datos:
a) Deben utilizarse los datos de carácter personal única y exclusivamente para las finalidades determinadas en este convenio, para aquellos aspectos relacionados con sus competencias en materia de reconocimientos médicos.
b) Para garantizar la privacidad en las comunicaciones, el acceso al sistema IANUS se realizará exclusivamente a través de redes de comunicaciones seguras. El Instituto Social de la Marina y la Consellería de Sanidad realizarán las gestiones necesarias para conseguir habilitar el acceso a través de la infraestructura que proponga la Consellería de Sanidad.
c) La Consellería de Sanidad decidirá el método y protocolos de seguridad a aplicar en el acceso al sistema IANUS.
d) En todas las previsiones de las actividades que forman parte del ejercicio de sus funciones, es necesario aplicar las medidas de índole técnica y organizativa que establece la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, y según lo establecido en el artículo 32 del Reglamento Europeo de protección de datos 2016/679, con el fin de garantizar la seguridad de los datos de carácter personal y evitar la alteración, la pérdida y el tratamiento no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, tanto si provienen de la acción humana como de los medios físico o natural.
e) Es imprescindible obligar al secreto profesional con relación a los datos de carácter personal a las personas que intervengan por cuenta del Instituto Social de la Marina en cualquier fase del tratamiento de los datos. Esta obligación subsiste incluso después de que se haya extinguido su relación de colaboración con la Consellería de Sanidad.
f) El Instituto Social de la Marina se obliga al cumplimiento de los procedimientos de identificación, autenticación y control de acceso de usuarios establecidos en los sistemas de información de la Consellería de Sanidad, debiendo comunicar las altas y bajas de usuarios que se produzcan en relación con los empleados de su organización, conforme a las instrucciones facilitadas en cada momento por la Consellería de Sanidad.
g) Sólo se concederá usuario de acceso al personal licenciado o diplomado sanitario que tenga encomendadas funciones relacionadas con el objeto de este convenio. Antes de la concesión del usuario de acceso, el personal deberá firmar un acuerdo de confidencialidad que proporcionará la Consellería de Sanidad y el Instituto Social de la Marina se encargará de recabar y remitir. El acceso estará exclusivamente autorizado a la información necesaria y respecto de los trabajadores a los que se realicen los preceptivos reconocimientos médicos de embarque marítimo actividades objeto del presente convenio
h) El Instituto Social de la Marina debe comunicar y hacer cumplir a sus empleados que tengan acceso a los datos de carácter personal las obligaciones establecidas en los apartados anteriores, especialmente las relativas al deber de secreto y a las medidas de seguridad.
i) La Consellería de Sanidad realizará de forma periódica auditorías de control del acceso a los datos que realizan los usuarios del Instituto Social de la Marina. En caso de detectar usos anómalos o sospechosos procederá a deshabilitar el usuario, sin perjuicio de otras acciones administrativas, penales o de otra índole que puedan ser de aplicación.
j) El Instituto Social de la Marina no puede hacer copias, volcados o cualquier otra operación de conservación de datos con finalidades diferentes de las establecidas en este convenio con relación a los datos de carácter personal a los que tenga acceso.
k) Respecto a los aspectos relacionados con las competencias de la Subdirección General de Sistemas y Tecnologías de la Información de la Secretaría General Técnica de la Consellería de Sanidad el Instituto Social de la Marina debe informarle inmediatamente sobre cualquier incidencia en los sistemas de tratamiento y gestión de la información que haya tenido o pueda tener como consecuencia de la alteración, la pérdida y el acceso a datos de carácter personal y la revelación a terceras personas de información confidencial obtenida mientras el Instituto Social de la Marina cumplía sus funciones y mientras dure la relación de colaboración.
l) Tanto para la ejecución de las auditorías contempladas en el Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, como en caso de que la Agencia Española de Protección de Datos (artículo 54 de la Ley Orgánica 3/2018,de 5 de diciembre), haga inspecciones o requerimientos a la Consellería de Sanidad o al Instituto Social de la Marina, ambas partes se comprometen a proporcionar la información requerida para facilitar en todo momento las actuaciones previstas legalmente y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones.
m) En caso de que el Instituto Social de la Marina destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas o cualquier otra exigible por la normativa, será considerado responsable del tratamiento (artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre), por lo que cualquier persona implicada en dichos hechos deberá responder de las infracciones en que haya incurrido de conformidad lo establecido en el título IX de la Ley Orgánica 3/2018,de 5 de diciembre, quedando sujeto, además, –en su caso– al régimen sancionador establecido en la misma en los artículos 70 a 78.
Además, el Instituto Social de la Marina está sujeto a las mismas condiciones y obligaciones descritas previamente en este convenio, así como también, a las reflejadas en los anexos I y II que acompañan al Convenio, respecto al acceso y al tratamiento de cualquier documento, dato, norma y procedimiento que pertenezcan a la Consellería de Sanidad y a que pueda tener acceso.
Tercera. Propiedad intelectual.
3.1 El Instituto Social de la Marina reconoce los derechos derivados de la Ley de la propiedad intelectual a favor de la Consellería de Sanidad, tanto del componente de software utilizado como del conjunto de documentos, diagramas, esquemas y otros elementos previos que lo forman.
3.2 La Consellería de Sanidad cede su componente de software sólo para que lo utilice el Instituto Social de la Marina, lo que exceptúa su reproducción, cesión, distribución y transformación. El Instituto Social de la Marina se compromete a no ceder su uso –parcial o total– de ninguna manera ni a ponerlo a disposición de terceras personas.
Cuarta. Vigencia, modificación, extinción y resolución.
4.1 El presente Convenio tendrá una duración de cuatro años y resultará eficaz una vez inscrito, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal. Así mismo será publicado, en el «Boletín Oficial del Estado», de conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre
En cualquier momento antes de la finalización del plazo previsto en el párrafo anterior, los firmantes del Convenio podrán acordar unánimemente su prórroga por un período de hasta cuatro años adicionales o su extinción, de acuerdo con lo previsto en el artículo 49 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El convenio podrá ser modificado por mutuo acuerdo de las partes, mediante adenda siempre que el oportuno acuerdo tenga lugar antes de la expiración de su plazo de duración, de acuerdo con el artículo 49.g) de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público.
Será causa de extinción el cumplimiento de las actuaciones que constituyen su objeto, y se resolverá por las causas previstas en el artículo 51.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
4.2 Serán causa de resolución anticipada del presente convenio las siguientes:
– La imposibilidad sobrevenida, legal o material, de dar cumplimiento a sus cláusulas.
– Denuncia previa por alguna de las partes, con una antelación mínima de dos meses a su finalización.
4.3 Conforme al artículo 49.e) y 51 de la Ley 40/2015, de 1 de octubre, en caso de incumplimiento de alguna de sus cláusulas, cualquiera de las partes podrá requerir a la parte incumplidora para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideren incumplidos, comunicándolo a la Comisión de Seguimiento. Si transcurrido el plazo persistiera el incumplimiento, la parte que dirigió el requerimiento notificará a la otra la concurrencia de la causa de resolución del convenio y se entenderá resuelto el convenio no afectando esta resolución a las actuaciones que ya hubieran sido realizadas.
Las actuaciones en curso aprobadas por la Comisión de Seguimiento deberán concluirse en todo caso, siendo entregado a cada una de las partes la información o documentos finales resultantes, en un plazo improrrogable que será fijado por las partes cuando se resuelva el convenio
Quinta. Financiación.
Las actuaciones previstas en el presente Convenio no generarán costes ni darán lugar a contraprestaciones financieras entre las partes.
Sexta. Jurisdicción y régimen aplicable.
Este Convenio tiene naturaleza administrativa, siéndole aplicables los principios y normativa recogidos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, así como en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Las cuestiones litigiosas que pudieran surgir serán de conocimiento y competencia del Orden Jurisdiccional de lo Contencioso Administrativo, sin perjuicio de las facultades de la Comisión de Seguimiento para resolver los problemas de interpretación, funcionamiento y cumplimiento del presente Convenio que le otorga la Ley de Régimen Jurídico del Sector Público.
Séptima. Comisión de seguimiento, vigilancia y control.
Siguiendo lo establecido en el artículo 49.f) de la Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector Público, se creará un órgano mixto de seguimiento, vigilancia y control de la ejecución del convenio, con el fin de garantizar el cumplimiento del presente convenio, que tiene la función de realizar el seguimiento y valoración de las actividades derivadas del mismo. Dicha Comisión tendrá el carácter de paritaria y estará integrada por dos representantes de cada una de las partes. Se reunirá siempre que se considere necesario por una de las partes.
En calidad de asesores, con derecho a voz, pero sin voto, podrán incorporarse otros técnicos.
La Comisión de Seguimiento se reunirá a instancia de cualquiera de las partes y se regirá en cuanto a su funcionamiento y régimen jurídico, respecto a lo no establecido expresamente en la presente cláusula, por lo dispuesto en la sección 3.ª del capítulo II del título preliminar de la LRJSP.
Los acuerdos en la Comisión se establecerán por consenso entre los componentes de ambas representaciones, que firmarán un acta de cada reunión en la que figurarán los acuerdos o desacuerdos de las partes. Dichas actas se remitirán a la Conselleria de Sanidad y a la Dirección Provincial del Instituto Social de la Marina.
Octava. Protección de datos.
Las partes se obligan a cumplir las disposiciones y las exigencias establecidas en la normativa reguladora de la protección de datos personales y, en especial, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales; el Reglamento Europeo de Protección de Datos 2016/679; la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y deberes en materia de información y documentación clínica, Ley 8/2008, de 10 de julio, de salud de Galicia; la Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes, modificada por la Ley 3/2005, de 7 de marzo; el Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica, modificado por el Decreto 164/2013, de 24 de octubre y el Decreto 168/2014, de 18 de diciembre y por el resto de la normativa de desarrollo.
Como muestra de conformidad suscriben el presente documento, las partes lo firman electrónicamente en el lugar donde se encuentran sus respectivas sedes.–La Directora del Instituto Social de la Marina, Elena Martínez Carqués.–El Conselleiro de Sanidad, Julio García Comesaña.
ANEXO I
Información básica sobre protección de datos personales
| Responsable del tratamiento. | Consellería de Sanidad de la Xunta de Galicia como responsable del sistema de información del Sistema Público de Salud de Galicia (Ley 8/2008, de 10 de julio, de salud de Galicia). |
| Identificación del tratamiento. |
1) Gestión de Historia Clínica y Actividad asistencial. 2) Identificación de usuarios y profesionales del sistema público sanitario. |
| Finalidades del tratamiento. |
1) Gestionar, de acuerdo con la normativa específica vigente, la historia clínica y la actividad asistencial realizada por la Administración sanitaria pública gallega. 2) Conocer la identidad de las personas protegidas por la Administración sanitaria pública gallega. |
| Legitimación para el tratamiento. |
Los artículos 6.1.c), 6.1.d) y 6.1.e) del Reglamento General de Protección de Datos. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica. Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes, modificada por la Ley 3/2005, de 7 de marzo. Ley 8/2008, del 10 de julio, de salud de Galicia. |
| Ejercicio de derechos. | Toda persona física tiene reconocido legalmente el derecho a acceder a los datos relativos a su persona que están siendo tratados. También tiene derecho a solicitar la rectificación y supresión de estos datos, así como otros derechos, como se explica en la información adicional. Si desea ejercitar sus derechos puede hacerlo en la Consellería de Sanidad o cualquiera de los centros/unidades dependientes o adscritos a ella, así como en el Servicio Gallego de Salud o cualquiera de los centros/unidades dependientes o adscritos a este. |
| Contacto delegado de protección de datos. | Delegado.proteccion.datos@sergas.gal. |
| Información adicional. | Pode consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.sergas.gal/protecciondatos. |
| En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGD). | |
ANEXO II
De protección de datos
Normativa
Los tratamientos de datos de carácter personal deberán respetar en su integridad el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y la normativa complementaria.
Dado que el convenio implica el acceso del Instituto Social de la Marina a datos de carácter personal de cuyo tratamiento es responsable la Consellería de Sanidad, el Instituto Social de la Marina tendrá la consideración de encargado del tratamiento. El acceso a los datos contenidos en IANUS por parte de los profesionales sanitarios del Instituto Social de la Marina no se considerará comunicación de datos, según lo previsto en el artículo 28 del RGPD. Tendrá dicha consideración de comunicación el tratamiento ulterior de los datos accedidos a través de IANUS dentro de los sistemas de gestión objeto de este convenio de los que es responsable de tratamiento el Instituto Social de la Marina.
Tratamiento de Datos Personales.
Para el cumplimiento del objeto de este convenio, el Instituto Social de la Marina deberá tratar los datos personales de los cuales la Consellería de Sanidad es Responsable del Tratamiento.
Ello conlleva que el Instituto Social de la Marina (en adelante el encargado de tratamiento) actúen en calidad de Encargado del Tratamiento en cada uno de sus ámbitos de competencia y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, tratando y protegiendo debidamente los Datos Personales.
Si el encargado de tratamiento destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del protocolo y/o la normativa vigente, será considerado también como Responsable del Tratamiento, respondiendo de las posibles infracciones en que hubiera incurrido.
En caso de que como consecuencia de la ejecución del convenio resultara necesario en algún momento la modificación del mismo, el encargado de tratamiento lo requerirá razonadamente y señalará los cambios que solicita. En caso de que la Consellería de Sanidad estuviese de acuerdo con lo solicitado se generaría una nueva versión de este anexo que recoja el tratamiento de datos actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.
Obligaciones del encargado del tratamiento (Estipulaciones como encargado de tratamiento).
De conformidad con lo previsto en el artículo 28 del RGPD, los encargados de tratamiento y todo su personal se obligan a y garantizan el cumplimiento de las siguientes estipulaciones:
Tratar los Datos Personales conforme a las instrucciones documentadas en el presente convenio o demás documentos aplicables a su ejecución y aquellas que, en su caso, reciban de la Consellería de Sanidad por escrito en cada momento.
El encargado de tratamiento informará inmediatamente a la Consellería de Sanidad cuando, en su opinión, una instrucción sea contraria a la normativa de protección de Datos Personales aplicable en cada momento.
Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este convenio. No utilizará ni aplicará los Datos Personales con una finalidad distinta a la ejecución del objeto del convenio, y en ningún caso podrá utilizar los datos para fines propios ajenos al mismo.
Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesaria o conveniente para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detalladas en el sumario de tratamiento recogido en forma de tabla al final de este anexo II (a partir de ahora, Sumario de Tratamiento)
Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del convenio así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del encargado de tratamiento, siendo deber del encargado de tratamiento instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación.
Llevar un listado de personas autorizadas para tratar los Datos Personales objeto de este convenio y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición de la Consellería de Sanidad dicha documentación acreditativa.
Para la gestión de permisos de accesos a sistemas de información bajo el control de la Consellería de Sanidad se seguirán las instrucciones que ella dicte.
Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación, fuera de lo contemplado en este protocolo.
Tanto por la naturaleza del tratamiento encargado como por su condición de organismos públicos, el encargado de tratamiento deben nombrar Delegado de Protección de Datos, y comunicarlo a la AEPD, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el encargado de tratamiento como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
Una vez finalizada la prestación objeto del presente protocolo, se compromete, según corresponda y se instruya en el Sumario de Tratamiento, a devolver o destruir:
(i) Los Datos Personales a los que haya tenido acceso,
(ii) los Datos Personales generados por los encargados de tratamiento por causa del tratamiento; y
(iii) los soportes y documentos en que cualesquiera de estos datos consten, sin conservar copia alguna; al no existir permiso o requerimiento por ley o por norma de derecho comunitario para su conservación, por lo que se procederá a la destrucción. No obstante, y aportando justificación de dicha solicitud, el Encargado del Tratamiento podrá solicitar a la Consellería de Sanidad conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En caso de ser aprobada esta solicitud, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
Quedarán exentos de este compromiso aquellos datos incorporados a los expedientes tramitados por el Instituto Social de la Marina, que no puedan ser considerados como excesivos para la finalidad con que han sido comunicados.
Según corresponda y se indique en el Sumario de Tratamiento, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, tanto manuales como automatizados, y en las ubicaciones que en el citado Sumario se especifican, equipamiento que podrá estar bajo el control de la Consellería de Sanidad o bajo el control directo o indirecto del encargado de tratamiento, u otros que hayan sido expresamente autorizados por escrito por la Consellería de Sanidad, según se establezca en dicho Sumario en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este Protocolo.
Sólo se contempla la posibilidad de tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio.
De conformidad con el artículo 33 del RGPD, comunicar a la AEPD, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
Se mantendrá en todo momento informada a la Consellería de Sanidad de las comunicaciones realizadas en este sentido.
Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los «Derechos»), ante el encargado de tratamiento, éste debe comunicarlo a la Consellería de Sanidad con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá a la Consellería de Sanidad, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
La responsabilidad última para resolver los ejercicios de derechos recibidos corresponde a la Consellería de Sanidad.
Colaborar con la Consellería de Sanidad en el cumplimiento de sus obligaciones en materia de:
(i) Medidas de seguridad,
(ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y
(iii) colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición de la Consellería de Sanidad, a requerimiento de esta, toda la información necesaria para demostrar el cumplimiento de los compromisos recogidos en el presente convenio y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por la AEPD.
En los casos en que la normativa así lo exija (ver artículo 30.5 RGPD), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del RGPD un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de la Consellería de Sanidad (Responsable del tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.
Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición de la Consellería de Sanidad a requerimiento de esta. Asimismo, durante la vigencia del convenio, pondrá a disposición de la Consellería de Sanidad toda información, certificaciones y auditorías realizadas en cada momento.
La Consellería de Sanidad auditará los accesos realizados en IANUS a datos de pacientes en el marco de este convenio, debiendo proporcionarle el encargado de tratamiento toda la información que la Consellería de Sanidad considere necesaria para verificar la legitimidad de dichos accesos. En el caso de detectar posibles irregularidades, instará a los encargados de tratamiento a que instruyan los expedientes disciplinarios y/o sancionadores correspondientes, teniendo derecho a que se le informe en detalle del contenido de dichos expedientes, para poder emprender otro tipo de acciones legales en caso de disconformidad.
Derecho de información: Los encargados de tratamiento, en el momento de la recogida de los datos, deben facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
La presente cláusula 2.1 y las obligaciones en ella establecidas, así como el Sumario de Tratamiento constituyen el contrato de encargo de tratamiento entre la Consellería de Sanidad y los encargados de tratamiento a que hace referencia el artículo 28.3 RGPD. Las obligaciones y prestaciones que aquí se contienen no son retribuibles de forma distinta de lo previsto en el presente convenio y tendrán la misma duración que éste, prorrogándose en su caso por períodos iguales a éste. No obstante, a la finalización del convenio, el deber de secreto continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del mismo.
Para el cumplimiento del objeto de este convenio no se requiere que los encargados de tratamiento accedan a ningún otro Dato Personal responsabilidad de la Consellería de Sanidad, y por tanto no están autorizados en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en el Sumario de Tratamiento. Si se produjera una incidencia durante la ejecución del convenio que conllevara un acceso accidental o incidental a Datos Personales responsabilidad de la Consellería de Sanidad no contemplados en el Sumario de Tratamiento los encargados de tratamiento deberán ponerlo en conocimiento de la Consellería de Sanidad, en concreto de su Delegado de Protección de Datos, con la mayor diligencia y a más tardar en el plazo de 72 horas.
Sub-encargos de tratamiento asociados a Subcontrataciones.
Dada la condición de administración pública del encargado de tratamiento y considerando que es previsible la subcontratación de actividades dentro de su objeto; en caso de que el encargado de tratamiento pretenda subcontratar con terceros la ejecución parcial del protocolo y el subcontratista, si fuera contratado, deba acceder a Datos Personales, el encargado de tratamiento lo pondrán en conocimiento de la Consellería de Sanidad, identificando qué tratamiento de datos personales conlleva, para que la Consellería de Sanidad pueda oponerse a dicha subcontratación, si lo así lo decide.
En todo caso, para considerar autorizada la subcontratación, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde a la Consellería de Sanidad la decisión de oponerse a dicha contratación):
– Que el tratamiento de datos personales por parte del subcontratista se ajuste a la legalidad vigente, lo contemplado en este protocolo y a las instrucciones de la Consellería de Sanidad.
– Que el encargado de tratamiento y la empresa subcontratista formalicen un contrato de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente pliego, el cual será puesto a disposición de la Consellería de Sanidad a su mera solicitud para verificar su existencia y contenido.
El encargado de tratamiento informará a la Consellería de Sanidad de cualquier cambio previsto en la incorporación o sustitución de otros subcontratistas, dando así a la Consellería de Sanidad la oportunidad de ejercer la oposición previsto en esta cláusula. La no respuesta de la Consellería de Sanidad a dicha solicitud por el contratista equivale a no oponerse a dichos cambios.
Información.
Los datos de carácter personal vinculados a las actividades de tramitación, control y auditoría de este convenio serán tratados por la Consellería de Sanidad para ser incorporados al sistema de tratamiento «Identificación usuarios y profesionales del sistema público sanitario» e «Inspección Sanitaria» cuyas finalidades son, en el primer caso, conocer la identidad de los/as profesionales relacionados/as con el catálogo de prestaciones sanitarias, así como su actividad y situación administrativa, así como, llevar la gestión y control de accesos a los sistemas de información de la Consellería de Sanidad y del Servizo Gallego de Salud; con el segundo tratamiento se gestionan las actividades de inspección sanitaria.
Finalidad necesaria para el cumplimiento de una obligación legal de la Consellería de Sanidad.
Los datos de carácter personal podrán ser comunicados en base a la legislación de transparencia y acceso a la información pública.
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, además de los periodos establecidos en la normativa de archivos y patrimonio documental tanto autonómica como estatal.
Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante la Secretaría Xeral Técnica de la Consellería de Sanidad, Edificio Administrativo San Lázaro, calle San Lázaro, s/n, 15703 – Santiago de Compostela o en la dirección de correo electrónico dpd@sergas.gal.
Sumario de tratamiento de datos personales
