Axencia Estatal Boletín Oficial do Estado
Contido non dispoñible en galego
La Directora General de la Dirección General del Dato y el Vicepresidente de Organización y Relaciones Institucionales de la Agencia Estatal Consejo Superior de Investigaciones Científicas, M.P., han suscrito, con fecha de 28 de enero de 2026, un convenio para apoyo técnico e integración de conjuntos de datos de salud («One Health») en el marco del proyecto «Espacio Nacional de Datos de Salud».
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente resolución.
Madrid, 4 de mayo de 2026.–El Subsecretario de la Presidencia, Justicia y Relaciones con las Cortes, Alberto Herrera Rodríguez.
REUNIDOS
De una parte, doña Ruth del Campo Bécares, Directora General de la Dirección General del Dato (en adelante, DGDATO), cargo para el que es nombrada por Real Decreto 269/2024, de 12 de marzo, en función de su cargo y en ejercicio de sus facultades que le son atribuidas por el artículo 5 del Real Decreto 210/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, modificado por el Real Decreto1185/2024, de 28 de noviembre, de acuerdo con el artículo 22 Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales, modificado por el Real Decreto 1230/2023 de 29 de diciembre; así como de conformidad con las competencias conferidas por el artículo 66 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Doña Ruth del Campo Becares actúa como firmante de este acuerdo en virtud del apartado dieciocho de la Orden TDF/469/2024, de 9 de mayo, sobre fijación de límites para la administración de determinados créditos para gastos y de delegación de competencias, apareciendo como delegación a la DGDATO la facultad para celebrar acuerdos y convenios, incluidos los de encomienda de gestión, hasta el límite de 1.200.000 euros, impuestos excluidos (capítulo III, Decimoctavo, apartado 3).
De otra parte, don Carlos Closa Montero, Vicepresidente de Organización y Relaciones Institucionales de la Agencia Estatal Consejo Superior de Investigaciones Científicas, M.P. (en adelante, CSIC), nombrado por Acuerdo del Consejo Rector del CSIC en su reunión de 30 de noviembre de 2022 (BOE de 23 de diciembre de 2022. Res. Presidencia CSIC de 14 de diciembre de 2022, por la que se resuelve convocatoria de libre designación), actuando en nombre y representación de esta institución en virtud de las competencias que tiene delegadas por resolución de 5 de diciembre de 2023 de la Presidencia del CSIC (BOE de 18 de diciembre siguiente). El CSIC, con NIF Q-2818002-D, tiene su sede central corporativa en Madrid (CP 28006), en calle de Serrano 117.
Intervienen ambas partes en representación de las Instituciones indicadas y con las facultades que sus respectivos cargos les confieren, reconociéndose capacidad y legitimación para otorgar y firmar el presente convenio y, a tal efecto,
EXPONEN
Que el artículo 47 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y la Orden PRA/1267/2017, de 21 de diciembre, que la desarrolla, habilitan la suscripción de convenios entre Administraciones Públicas sometidos al régimen jurídico de convenios previsto en el capítulo VI del título preliminar de la citada Ley 40/2015, de 1 de octubre.
Que el artículo 62 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que corresponde a los Secretarios de Estado la responsabilidad de la ejecución de la acción del Gobierno en un sector de actividad específica de un Departamento actuando bajo la dirección de su titular, siendo el apartado 2.g) del mencionado artículo 62 el que le atribuye la competencia para suscribir aquellos convenios no reservados al Ministro del que dependan, sin perjuicio de la correspondiente autorización cuando sea preceptiva.
De acuerdo con el artículo 2.1 del Real Decreto 210/2024, de 27 de febrero, modificado por el Real Decreto 1185/2024, de 28 de noviembre, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, le corresponde a la Secretaría de Estado de Digitalización e Inteligencia Artificial (en adelante, SEDIA), la política de impulso a la digitalización de la sociedad y la economía de forma respetuosa con los derechos individuales y colectivos, así como con los valores del ordenamiento jurídico español.
A tal fin, le corresponden las funciones de fomento y regulación de los servicios digitales y de la economía y sociedad digitales, la interlocución con los sectores profesionales, industriales y académicos, el impulso de la digitalización del sector público y la coordinación y cooperación interministerial y con otras administraciones públicas respecto a dichas materias, sin perjuicio de las competencias atribuidas a otros departamentos ministeriales.
Según se establece en el artículo 2.2 del citado Real Decreto 210/2024, modificado por el Real Decreto 1185/20224, la DGDATO depende orgánicamente de la SEDIA, y, conforme al artículo 5.1 de dicho real decreto, tiene como misión «el fomento del uso de datos por las Administraciones Públicas, empresas y ciudadanos, así como la compartición en espacios de datos interoperables, contribuyendo al desarrollo del mercado único digital para Europa, en coordinación con los departamentos ministeriales sectoriales competentes y en colaboración con las comunidades autónomas y entidades locales».
Asimismo, según lo dispuesto respectivamente en las letras h) e i) del citado artículo 5.1 del Real Decreto 210/2024, la DGDATO llevará a cabo, en particular, «el diseño, impulso y seguimiento de programas, actuaciones e instrumentos para el despliegue de capacidades, infraestructuras y plataformas que contribuyan a acelerar el empleo de los datos, desarrollar políticas públicas más eficaces y fomenten su soberanía, en coordinación con el resto de las unidades competentes en el departamento ministerial». Así como «el impulso, coordinación y seguimiento de los planes, programas e iniciativas que fomenten la investigación, el desarrollo y la innovación en tecnologías, servicios y productos para la economía del dato, contribuyendo al desarrollo de una industria nacional competitiva, en colaboración con el resto de las entidades relevantes.»
Que el Plan de Recuperación, Transformación y Resiliencia «España puede» (en adelante, PRTR), aprobado por la Comisión Europea el 16 de junio de 2021 y ratificado por el Consejo de la Unión Europea el 13 de julio de 2021, es un proyecto que traza la hoja de ruta para la modernización de la economía española, la recuperación del crecimiento económico y la creación de empleo, para una reconstrucción económica sólida, inclusiva y resiliente tras la crisis de la COVID, y para responder a los retos de la próxima década.
Con fecha 2 de octubre de 2023 se ha aprobado por la Comisión Europea la adenda al PRTR, que posteriormente ha sido ratificada por el Consejo de Ministros de Economía y Finanzas de la Unión Europea el 17 de octubre de 2023. En ella se modifica el calendario y definición de algunos hitos para asegurar el aprovechamiento de todos los fondos NextGenerationEU, así como los costes de algunos otros y se añaden nuevas medidas, permitiendo con esta actualización incorporar los cambios objetivos en las circunstancias económicas y ampliar algunos plazos para ajustarlos a los tiempos reales que requiere el cumplimiento de sus medidas.
Que el «Espacio Nacional de Datos de Salud» (ENDS) forma parte del Plan de Actuaciones incluido en la Estrategia de Salud Digital del Sistema Nacional de Salud (SNS), así como en el PERTE para una Salud de Vanguardia. Asimismo, está contemplado en el Plan España Digital 2026, dentro de la medida 29: Salud Digital y de Vanguardia. El proyecto del ENDS se está abordando con la inversión 6 del Componente 18 del PRTR, mediante la dotación de un presupuesto de 100 millones de euros a cargo del Mecanismo de Recuperación y Resiliencia (MRR) del Next Generation EU. Su ejecución es responsabilidad del Ministerio para la Transformación Digital y de la Función Pública (MTDFP), a través de la SEDIA y de la DGDATO, como órgano gestor.
Por tanto, en la tramitación del presente convenio resultará de aplicación el Real Decreto-ley 36/2020 de 30 de diciembre por el que se aprueban medidas urgentes para la modernización de la Administración Pública y para la ejecución del Plan de Recuperación, Transformación y Resiliencia.
En ese marco, el ENDS tiene el objetivo de proporcionar al SNS una Plataforma tecnológica de almacenamiento, tratamiento y análisis con capacidades digitales avanzadas, para los datos procedentes de los sistemas de información del SNS y de otras fuentes, tanto clínicos como de gestión, epidemiológicos o de operaciones estadísticas relacionadas con la salud. Con esta plataforma se busca contribuir al desarrollo de la investigación, la innovación y el uso secundario de los datos de salud, facilitando el uso confiable y ético de tecnologías disruptivas de tratamiento del dato y de inteligencia artificial.
En la materia específica de Datos de Salud, el ENDS de alinea con el Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud, y por el que se modifican la Directiva 2011/24/UE y el Reglamento (UE) 2024/2847 (en adelante, Reglamento del Espacio Europeo de Datos de Salud), cuyos principales objetivos son el empoderamiento de las personas con el control de sus datos de salud; facilitar el intercambio transfronterizo para la prestación de servicios sanitarios; promover la interoperabilidad de los sistemas de historia clínica electrónica; promover la reutilización de datos para investigación, innovación y emprendimiento, así como definir las condiciones para el tratamiento de los datos personales de salud.
Que la presente colaboración con el CSIC se insertar en dicho marco del ENDS, de cara a proporcionar fuentes de datos adicionales y complementarias al SNS, no directamente relativas a la salud de las personas, sino con datos relacionados y de uso para la salud, con el fin de fomentar la disponibilidad de dichos datos de la AGE para fines sanitarios, buscando el facilitar el acceso a datos del CSIC que puedan ser de interés y utilidad para el ámbito de la sanidad, destacando especialmente aquellos relacionados con el enfoque One Health («Una Sola Salud»).
El enfoque One Health establece que la salud de las personas, los animales y el medioambiente está estrechamente interrelacionada y es interdependiente. Más específicamente, el concepto One Health es un enfoque de colaboración interdisciplinar; según indica la Organización Mundial de la Salud (OMS), los vínculos entre la salud humana, animal y ambiental exigen una estrecha coordinación, colaboración y comunicación entre los sectores implicados. El objetivo es que la medicina, la medicina veterinaria, las ciencias ambientales, la entomología y otras disciplinas, trabajen de manera conjunta en favor de una salud global.
Por tanto, resulta de gran relevancia la incorporación al ENDS de datos considerados bajo dicho enfoque One Health, ampliando el espectro de análisis e investigaciones que pueden obtener sus fuentes de datos en el ENDS.
Que el marco competencial del CSIC se basa en su misión de fomentar, coordinar y desarrollar la investigación científica y tecnológica para contribuir al avance del conocimiento y al desarrollo económico, social y cultural.
La institución transfiere esta labor de investigación a las administraciones públicas y la sociedad civil, afrontando desafíos contemporáneos y asegurando la autonomía estratégica de España y Europa.
Además, el CSIC participa en programas europeos de investigación y es un actor clave en la formación de personal y el asesoramiento en materias científicas y tecnológicas.
Que el artículo 3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece como uno de los principios generales de actuación de las Administraciones Públicas, el principio de Cooperación, colaboración y coordinación entre las Administraciones públicas y la propia ley regula en su capítulo VI del título preliminar el convenio como instrumento con efectos jurídicos para la formalización de acuerdos entre Administraciones para un fin común.
Que la DGDATO y el CSIC establecerán fórmulas que aúnen sus conocimientos y esfuerzos en aplicación de los principios de cooperación y eficacia administrativa en el desarrollo del ENDS, mediante el proyecto definido en el anexo I del presente convenio.
Por todo ello, ambas partes suscriben el presente convenio, que se regirá por las siguientes
CLÁUSULAS
El presente convenio tiene por objeto establecer los términos de la colaboración entre el Ministerio para la Transformación Digital y de la Función Pública, a través de la DGDATO, y el CSIC para la ejecución del proyecto definido en el anexo I del presente convenio, dentro del marco del «Espacio Nacional de Datos de Salud» (ENDS), con el objetivo de habilitar la puesta a disposición de datos del CSIC en el ENDS, contribuyendo al desarrollo de la investigación, la innovación y el uso secundario de los datos de salud, con el enfoque «One Health», facilitando el uso confiable y ético de tecnologías disruptivas de tratamiento del dato y de inteligencia artificial.
El conjunto de actividades contempladas en el marco del presente convenio se detalla en el citado anexo I. Mediante acuerdo formalizado entre las partes, se podrán modificar dicho anexo I, dentro del contexto del objeto de este convenio, y conforme a lo dispuesto en la cláusula Undécima del presente convenio.
El presente convenio se perfeccionará por la prestación del consentimiento de las partes, y resultará eficaz una vez inscrito, en el plazo de 5 días hábiles desde su formalización, en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del sector público estatal (REOICO). Asimismo, el convenio será publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado».
El convenio estará vigente desde su inscripción en el mencionado REOICO hasta el 30 de junio de 2026, fecha de finalización para la ejecución de los proyectos financiados por los fondos NextGenerationEU, sin perjuicio de su posible prórroga.
En cualquier momento antes de finalizar la vigencia del convenio, se podrá prorrogar con el acuerdo unánime de las partes, mediante una adenda al convenio, que deberá comunicarse al REOICO, en el plazo de cinco días desde que ocurra el hecho inscribible.
Para cumplir el objeto de este convenio, la DGDATO se compromete a:
– Aportar el equipo de trabajo con perfiles adecuados para el desarrollo de las actividades previstas en el proyecto definido en el anexo I.
– Nominar a una persona del proyecto ENDS para que actúe como interlocutor principal para el CSIC.
– En caso necesario, velar porque todos los miembros del equipo de trabajo aportado por la DGDATO hayan firmado un acuerdo de confidencialidad acerca de la información y actuaciones llevadas a cabo al amparo del proyecto definido en el anexo I, y facilitar dichos acuerdos firmados al personal del CSIC, si así los requieren.
– Velar por una correcta coordinación de los miembros del equipo, y facilitarle la información y documentación general para llevar a cabo el proyecto definido en el anexo I.
– Velar por la correcta ejecución del proyecto definido en el anexo I, y poner en conocimiento del CSIC cualquier desviación o riesgo asociado con los mismos.
– Aportar la infraestructura tecnológica del ENDS que sea requerida para la ejecución del proyecto definido en el anexo I, sin perjuicio de la infraestructura tecnológica disponible por parte del CSIC.
– Gestionar, si procede, el espacio físico que puntualmente requerirse para llevar a cabo las actividades previstas en el proyecto definido en el anexo I.
Por su parte, para cumplir el objeto de este convenio, el CSIC se compromete a:
– Designar un equipo responsable que se encargue de la coordinación del proyecto y facilite al equipo de trabajo asignado los recursos necesarios para llevar a cabo el proyecto definido en el anexo I.
– Designar interlocutores por parte de cada uno de los ámbitos implicados en el proyecto definido en el anexo I, que se encarguen de proporcionar toda la información y requerimientos necesarios para la ejecución del proyecto definido en el anexo I, en particular, sobre los conjuntos de datos identificados en dicho proyecto.
– Facilitar la colaboración interna para asegurar la consecución de los objetivos perseguidos en el proyecto del anexo I.
– Facilitar al equipo de trabajo el acuerdo de confidencialidad específico o cualquier otro acuerdo que el CSIC considere necesario que firme, siempre que dicho acuerdo sea pertinente y proporcionado a las labores a desarrollar por el equipo de trabajo dentro del proyecto definido en el anexo I.
– Gestionar, si procede, el espacio físico que puntualmente pueda requerirse para llevar a cabo las actividades previstas en el proyecto definido en el anexo I.
– Facilitar al equipo de trabajo la documentación, información y los accesos suficientes para que pueda llevar a cabo las labores que tengan encomendadas, respetando siempre el principio de mínimo acceso y mínimo privilegio.
– Canalizar las comunicaciones al equipo de trabajo a través del coordinador del mismo.
– Velar porque las actividades en las que participe el equipo de trabajo se restrinjan a aquellas pactadas para llevar a cabo el proyecto definido en el anexo I.
– Si por la naturaleza del proyecto definido en el anexo I, para la realización de actividades en el marco de dicho proyecto fuera necesario que personal del equipo de trabajo aportado por la DGDATO tuviera que desplazarse a las dependencias del CSIC, el CSIC será responsable de gestionar las autorizaciones pertinentes relativas al espacio físico para el personal del equipo de trabajo aportado por la DGDATO, siguiendo sus instrucciones internas, siempre con el apoyo de los responsables de la DGDATO.
– Los trabajos que necesiten realizarse desde las dependencias del CSIC no implicarán un puesto de trabajo fijo en el edificio y el personal designado por la DGDATO ocupará espacios de trabajo diferenciados del que ocupan los empleados públicos.
Este convenio de colaboración no comporta obligaciones económicas entre las partes firmantes.
El presente convenio tiene carácter institucional y naturaleza jurídico-administrativa, siendo el régimen jurídico aplicable al mismo el establecido en los artículos 47 a 53 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El objeto del convenio no tiene carácter contractual y lo constituye el acuerdo entre ambas partes firmantes para la consecución de un fin común, por lo que en ningún caso tiene por objeto una prestación propia de los contratos, estando excluido de la Ley 9/2017, de Contratos del Sector Público.
El presente convenio no generará ningún tipo de vinculación contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
De acuerdo con el artículo 49.f) de la Ley 40/2015, de 1 de octubre, el seguimiento, vigilancia y control del convenio, se efectuará mediante una Comisión de Seguimiento que se realizará de acuerdo con la metodología propuesta por los responsables del proyecto ENDS de la DGDATO.
Dicha metodología permitirá, tanto a la DGDATO como a los responsables de proyecto del CSIC, visibilidad suficiente para tener constancia del progreso de las actividades recogidas en el proyecto, así como preverá, al menos, una reunión de seguimiento mensual donde se comprueben los avances o se tomen las decisiones que permitan corregir las potenciales desviaciones, incluyendo la posibilidad de modificar el alcance de este convenio de acuerdo con lo indicado en su cláusula Undécima.
La Comisión de Seguimiento estará compuesta por dos representantes de la DGDATO y dos representantes del CSIC. De los representantes de la DGDATO, uno de ellos, la presidirá y tendrá voto de calidad. Como secretario de la Comisión actuará uno de los representantes del CSIC.
Los miembros de esta Comisión podrán ser sustituidos por las personas que estos designen. La sustitución, con carácter definitivo o temporal, de cualquiera de los miembros de la Comisión de Seguimiento, será anunciada en la convocatoria de la reunión correspondiente, y quedará debidamente reflejada en el acta de la misma.
En la reunión constitutiva de la Comisión de Seguimiento se designará a las personas que ejercerán, respectivamente, la presidencia y la secretaría. Estas designaciones quedarán debidamente reflejadas en el acta de dicha reunión constitutiva.
Las reuniones podrán realizarse presencialmente o mediante medios telemáticos. El coordinador levantará un acta que deberá ser consensuada expresamente por los representantes indicados anteriormente.
Su funcionamiento deberá regirse por lo dispuesto en el presente documento y en el capítulo II, sección 3.ª, del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en lo que se refiere al funcionamiento de los órganos colegiados.
A la Comisión de Seguimiento podrán asistir invitados de cada una de las Partes, que actuarán con voz, pero sin voto.
Las Partes acuerdan expresamente que las dudas que puedan surgir en el funcionamiento de esta Comisión de Seguimiento y que no estén reguladas en el presente convenio, se resolverán aplicando los principios y criterios establecidos en la Ley 40/2015, de 1 de octubre, en lo que se refiere al funcionamiento de los órganos colegiados.
La Comisión de Seguimiento se constituirá en el plazo de 30 días desde la entrada en vigor del presente convenio.
Por parte de la SEDIA, actuará como responsable e interlocutor de la aplicación de este convenio la persona titular de la DGDATO o las personas en quienes esta delegue.
Por parte del CSIC, actuará como responsable e interlocutor de la aplicación de este convenio la persona designada por la misma, que asimismo podrá delegar, en caso necesario.
La tramitación de la documentación que las partes lleven a cabo entre sí, así como cualquier requerimiento o comunicación que se deban efectuar entre ellas en el ámbito de este convenio, se realizarán a través de cualquier medio escrito que deje constancia de su envío y recepción, ya sea en soporte papel o electrónico, sirviendo a estos efectos el burofax, la carta certificada y el correo electrónico, al que las partes otorgan plena eficacia y viabilidad.
En relación con el objeto del presente convenio, las partes mantendrán una política de relaciones con los medios de comunicación coherente y consensuada, y siempre de acuerdo con las indicaciones que se establezcan a tal fin en el marco del PRTR por la Comisión Europea y por el Gobierno de España.
A tal fin, las partes se comprometen a consultarse mutuamente el contenido de cualquier comunicación objeto de divulgación pública relativa a las actividades desarrolladas en el marco de este convenio, según proceda en función de las responsabilidades y roles que corresponden a cada parte, y manteniendo una imagen con elementos de comunicación conjuntos.
Toda la documentación que se genere seguirá los estándares definidos dentro del proyecto ENDS, respetando en cualquier caso las guías de estilo identificativos de las actuaciones financiadas con fondos PRTR.
Los activos que se puedan generar, en su caso, durante la ejecución del convenio serán entregados a el CSIC para ser utilizados durante y tras la ejecución del proyecto, pudiendo ser evolucionados de la manera que el CSIC considere adecuada.
La DGDATO mantendrá una copia de todos los activos, con el fin de evidenciar los entregables generados al amparo del proyecto ENDS, así como para el desempeño de sus propias actividades ligada al fomento del uso del dato en el Sector Público, preservando, en todo caso, la debida confidencialidad.
Independientemente de las normas previstas en este convenio, cualquiera de los firmantes podrá, por necesidades justificadas, invocar la figura del auxilio en la gestión, cuando no pueda realizar una gestión adecuada al uso previsto a sus zonas y elementos privativos. A tal efecto, el otro firmante, en la medida de sus posibilidades, reportará dicho auxilio.
El convenio podrá ser modificado por acuerdo unánime de las partes a propuesta de cualquiera de ellas mediante la suscripción de la oportuna adenda de modificación, formalizada durante el periodo de vigencia.
Este convenio se extinguirá por su cumplimiento o por incurrir en causa de resolución, siendo éstas las siguientes:
a. El transcurso de su plazo de vigencia sin haberse acordado la prórroga de éste.
b. El acuerdo unánime de todas las partes.
c. Si, por cualquier circunstancia sobrevenida, el proyecto y las tareas previstas en el anexo I no pueden continuar en la forma y duración acordadas, el CSIC lo notificaría oficialmente a los responsables del proyecto de la DGDATO y, si ambas partes acuerdan que esas circunstancias existen y no puede ser mitigadas en tiempo y forma, acordarán asimismo una finalización, lo más ordenada posible, de las actividades, de manera que se maximice el valor aportado al proyecto ENDS por los trabajos desarrollados hasta la fecha de finalización.
d. El incumplimiento de las obligaciones y compromisos asumidos por alguna de las partes.
e. Por decisión judicial declaratoria de la nulidad del convenio.
f. Por cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.
g. Por la imposibilidad sobrevenida del cumplimiento de las actividades descritas.
h. Asimismo, las partes firmantes podrán resolver este convenio por denuncia de cualquiera de las mismas mediante preaviso comunicado de forma fehaciente a la otra parte con, al menos, tres meses de antelación a la fecha de resolución propuesta.
Cualquiera de las partes podrá notificar a la parte incumplidora para que cumpla, en un determinado plazo, con las obligaciones y compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable de la Comisión de Seguimiento y a la otra parte firmante. Si, transcurrido el plazo indicado en el requerimiento, persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
En caso de resolución del convenio por incumplimiento de las obligaciones y compromisos asumidos o por cualquier otra causa prevista en este convenio o en la ley, la Comisión de Seguimiento propondrá las condiciones y un plazo improrrogable para la finalización de las actuaciones derivadas de este convenio que estén en ejecución.
Con carácter previo a la resolución, las partes tienen la posibilidad de acudir a la solución extrajudicial prevista en el artículo 5.b) de la Ley 52/1997, de 27 de noviembre, de Asistencia Jurídica al Estado e Instituciones Públicas.
El presente convenio tiene naturaleza administrativa y se regirá por lo dispuesto en la Ley 40/2015, de 1 de octubre de Régimen Jurídico del sector Publico, las restantes normas administrativas que le sean de aplicación y los principios generales del Derecho. Asimismo, será de aplicación el Real Decreto-ley 36/2020 de 30 de diciembre por el que se aprueban medidas urgentes para la modernización de la Administración Pública y para la ejecución del Plan de Recuperación, Transformación y Resiliencia.
Las partes se comprometen a colaborar en todo lo que les sea de aplicación para la efectiva adecuación del presente convenio a los trámites previstos en dicha ley.
Las controversias y cuestiones litigiosas surgidas sobre la interpretación, desarrollo, modificación, resolución, ejecución y efectos que pudieran derivarse de la aplicación del presente convenio, deberán solventarse por la Comisión de Seguimiento, y, si no se alcanzare acuerdo a través de ésta, la resolución de cualquier controversia o discrepancia sobre los aspectos indicados quedará sometida a la jurisdicción y competencia del orden jurisdiccional Contencioso-administrativo, al que se someten expresamente las partes con renuncia a cualquier otro fuero que pudiera corresponderles.
El régimen jurídico vendrá establecido por las estipulaciones previstas en el presente convenio, rigiéndose por sus propios términos y condiciones y aplicándose los principios resultantes de la legislación española para resolver las dudas que pudieran presentarse.
Este convenio cumple con el principio DNSH («Do No Significant Harm») de «no causar un perjuicio significativo», exigido por el artículo 5.2 del Reglamento (UE) 2021/241.
Cualquier situación que constituya una causa de fuerza mayor deberá ser notificada formalmente a las otras partes sin demora, indicando la naturaleza, la duración estimada y los efectos previstos de la misma.
Las partes deberán dar todos los pasos necesarios para limitar cualquier daño provocado por una causa de fuerza mayor y reanudar la implementación del convenio lo antes posible.
En ningún caso de considerará que, si alguna de las partes no lleva a cabo sus obligaciones establecidas en el convenio por causa de fuerza mayor, estaría incurriendo en un incumplimiento de este.
A efectos del presente convenio, se considerará «Causa de Fuerza Mayor» cualquier situación o evento que:
a. Impida a alguna de las partes el cumplimiento de sus obligaciones incluidas en el convenio.
b. Se trate de una situación impredecible, excepcional y que se escape al control de las partes.
c. No derive de un error o negligencia por su parte (o de parte de otros actores implicados en la acción).
d. Resulte inevitable a pesar de haber actuado con toda la diligencia debida.
A menos que deriven de forma directa de una causa relevante de fuerza mayor, los siguientes supuestos no se considerarán como tal:
a. Cualquier incumplimiento de un servicio, defecto en el equipamiento y material o retrasos en su puesta a disposición.
b. Conflictos laborales o huelgas.
c. Dificultades financieras.
Las partes se comprometen a cumplir, en los términos que sea de aplicación, lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de protección de datos, RGPD europeo), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y en las disposiciones de desarrollo que se dicten.
En el marco del presente convenio, el CSIC tendrá la consideración de Responsable del tratamiento en relación con los datos personales aportados, en su caso, como organismo productor de datos para el ENDS y para sus propios tratamientos, correspondiendo a la DGDATO la condición de Encargado del Tratamiento, de conformidad con el artículo 28 del RGPD.
Dicha relación se formaliza y regula mediante el Contrato de Encargado de Tratamiento que se incorpora a este convenio como anexo II.
Sin perjuicio de que el CSIC actúe como Responsable del Tratamiento, y que la DGDATO lo haga como Encargado del Tratamiento, ambas partes colaborarán en el diseño, ejecución y evaluación de las funcionalidades técnicas de tratamiento de datos en el ENDS, teniendo en cuenta sus respectivas responsabilidades diferenciadas pero complementarias, de acuerdo con los principios del Reglamento General de Protección de Datos.
En relación con los datos personales, que, en su caso, fuera preciso tratar en el marco del presente convenio, no resultaría precisa la obtención del consentimiento de los titulares de dichos datos personales para realizar los tratamientos derivados de las actuaciones contempladas en el presente convenio, en el caso de estar legitimado el tratamiento en base a lo dispuesto en el artículo 6.1 letra e) del RGPD, al ser necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
En otro caso, si resultara preciso obtener el consentimiento de los titulares de los datos personales, las partes intervinientes asumen que deben informar a los titulares de los datos personales de las características del tratamiento de los datos personales que, en el marco del convenio, se llevará a cabo. Asimismo, asumen que han de obtener el consentimiento de los titulares de los datos personales para llevar a efecto los tratamientos de los datos personales que sean consecuencia de las actuaciones previstas en el convenio.
En todo caso, las partes asumen las obligaciones de implementar las oportunas medidas técnicas y organizativas, así como implementar el oportuno mecanismo que solvente las violaciones de la seguridad de los datos personales que puedan producirse; y asumen el tener que establecer el mecanismo de respuesta al ejercicio por parte de los titulares de los datos personales de los derechos derivados de la normativa de protección de datos personales.
En el marco del presente convenio, el CSIC, como Responsable del Tratamiento, llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, de conformidad con lo dispuesto en el artículo 30.1 del Reglamento General de Protección de Datos.
Por su parte, la DGDATO, en su condición de Encargado del Tratamiento, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, conforme a lo establecido en el artículo 30.2 del Reglamento General de Protección de Datos.
En el marco del presente convenio, ambas partes se abstendrán de realizar cualquier tipo de tratamiento de datos personales que no sea estrictamente necesario para el cumplimiento del convenio.
Los titulares de los datos personales podrán ejercitar ante el Responsable o el Encargado del Tratamiento de datos personales los derechos de acceso, rectificación, supresión y portabilidad de los datos personales, y de limitación u oposición al tratamiento.
Sin perjuicio de que, conforme a la normativa vigente (RGPD y LOPDGDD), los citados derechos de acceso, rectificación, supresión y portabilidad se podrán excepcionar o no son aplicables cuando se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados.
Si las partes intervinientes destinasen los datos personales que obtengan a consecuencia del convenio a otra finalidad, los comunicasen o utilizasen incumpliendo lo estipulado en el convenio y/o en la normativa de protección de datos personales, cada una de las partes intervinientes responderá de las responsabilidades que deriven de los daños y perjuicios causados, a fin de garantizar al perjudicado una indemnización efectiva, sin perjuicio de lo previsto en el artículo 82.5 del RGPD europeo.
Las garantías que, en orden a los datos personales, se establecen, tendrán validez durante la vigencia de este convenio y de sus prórrogas.
Las partes velarán por el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Se entiende por Conocimientos Previos todo dato, conocimiento técnico, material o información, cualquiera que sea su forma o naturaleza, tangible o intangible, incluido todo derecho, como los derechos de propiedad industrial e intelectual pertenecientes a alguna de las Partes con anterioridad a la entrada en vigor del Convenio o, si posteriores, que las Partes hayan generado independientemente de este Convenio - esto es, sin hacer uso de sus Resultados tal cual están definidos más abajo y/o de la Información Confidencial y/o Conocimientos Previos de la otra Parte.
Cada Parte seguirá siendo propietaria de los Conocimientos Previos aportados a esta colaboración. Ningún Conocimiento Previo se entiende cedido a la otra Parte, en virtud del presente convenio.
Cada Parte concede a la otra una licencia no exclusiva, no transferible y gratuita, de uso de los Conocimientos Previos únicamente para llevar a cabo tareas de investigación en el marco del presente convenio, cuando éstos sean necesarios para la realización de esta colaboración.
Se considerarán Resultados todos los datos, conocimientos, materiales o información obtenidos en Esta colaboración, cualquiera que sea su forma o naturaleza, tanto si pueden o no ser protegidos, así como todo derecho derivado, incluidos los derechos de propiedad industrial e intelectual.
Las partes se reserva la facultad de uso de los Resultados obtenidos durante la realización de esta colaboración para los fines de su propia investigación y docencia, sin perjuicio de lo establecido en este convenio.
Los Resultados que se generen como consecuencia de la ejecución y desarrollo de esta colaboración serán propiedad de la Parte o Partes que los haya obtenido. El porcentaje de titularidad, en su caso, de cada una de ellas se fijará en función de su aportación intelectual y material a la consecución de los Resultados.
Las Partes se informarán sin demora de la generación de un Resultado potencialmente útil o comercializable, protegible o no mediante un título de propiedad industrial o intelectual. A tal fin, los Investigadores Responsables entregarán a las Unidades de la Protección de Resultados de cada Parte una descripción por escrito de los Resultados y/o invención y la identificación de los autores o inventores que hayan contribuido intelectualmente a la obtención de los mismos.
En el caso de Resultados en copropiedad y en la medida en que estos Resultados sean susceptibles de protección legal, las Partes compartirán la preferencia para solicitar la titularidad conjunta de los derechos de propiedad industrial relativos a las invenciones u otros títulos que pudieran derivarse de los citados Resultados. Las Partes se informarán sobre la decisión o no de participar como titulares del título correspondiente en un plazo máximo de tres (3) meses desde la recepción de la mencionada descripción y actuarán en todo momento de forma diligente y consensuada para la ejecución de las acciones encaminadas a la correcta protección de los Resultados en un periodo adicional de tres (3) meses. Las Partes establecerán la entidad que inicie las gestiones necesarias para la evaluación, preparación y solicitud del correspondiente título de propiedad industrial o intelectual compartido y colaborarán en su evaluación y redacción con los recursos propios que dispongan o con los externos que se puedan contratar y consensuarán por escrito la solicitud antes de su presentación ante la oficina correspondiente. En todo caso, las Partes se comprometen a que los plazos establecidos no puedan perjudicar o hacer inhábil la potencial solicitud del correspondiente título de propiedad industrial. Asimismo, las Partes podrán decidir la protección de los Resultados generados mediante secreto industrial u otras fórmulas que consideren adecuadas.
Las Partes cotitulares se comprometen a la firma de un contrato de cotitularidad donde se fijarán los porcentajes de titularidad de cada una de las Partes, así como las condiciones de uso, modalidad de la protección y mantenimiento de la protección que se consideren oportunas. El citado contrato podrá incluir, por acuerdo de las Partes, las condiciones de explotación de los Resultados.
En el caso que una de las Partes no estuviese interesada en ser cotitular de alguno de los Resultados protegibles de esta colaboración, en la solicitud o la continuación de la tramitación de algún título o decidiese el abandono de alguno de los títulos en un país o países determinados, lo comunicará por escrito a la otra Parte, con tiempo suficiente, para que ésta decida sobre solicitar o continuar o no con la tramitación o el mantenimiento de los títulos en su propio nombre y cargo. Así, la Parte cedente entregará por escrito a la otra Parte titular la información y los datos en su haber y necesarios para la correcta protección y explotación comercial de dichos Resultados por la Parte cesionaria de los derechos. La no tramitación o el abandono mencionado por un cotitular conlleva la cesión de la propiedad y titularidad de dicho título a la otra Parte, sin mediar contraprestación ni ningún compromiso con la Parte cedente. En cualquiera de los casos, la Parte cedente retendrá una licencia no exclusiva, no transmisible y gratuita de estos Resultados para el uso en investigación y docencia, sin fines comerciales.
En el caso de Resultados propiedad de una de las Partes, dicha Parte retendrá todos los derechos, títulos e intereses que de ellos se deriven. En la medida en que estos Resultados sean susceptibles de protección legal, dicha Parte tendrá preferencia para solicitar la titularidad de los derechos de propiedad industrial relativos a las invenciones u otros títulos que pudieran derivarse de los Resultados, comprometiéndose a respetar el derecho a figurar como inventores a aquellos investigadores que hayan contribuido intelectualmente a la obtención de los Resultados. La Parte titular informará a la otra Parte previamente a la solicitud del correspondiente título.
En cualquier caso, ambas Partes se comprometen a colaborar en la medida necesaria para lograr la efectividad de los derechos reconocidos en este convenio. Esta colaboración incluye la obtención de la firma de los inventores o autores de las investigaciones en los documentos necesarios para la solicitud y tramitación de los títulos de propiedad industrial que se requieran.
Además de la publicación en el «Boletín Oficial del Estado», antes referida, de acuerdo con lo previsto en el artículo 8.1.b) la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, el presente convenio se publicará en el Portal de la Transparencia de la Administración General del Estado.
Y, en prueba de conformidad, firman el presente convenio, de forma electrónica y a un solo efecto.–La Directora General de la Dirección General del Dato, Ruth del Campo Bécares.–El Vicepresidente de Organización y Relaciones Institucionales de la Agencia Estatal Consejo Superior de Investigaciones Científicas, M.P., Carlos Closa Montero.
El CSIC es una Agencia Estatal para la investigación científica y el desarrollo tecnológico y tiene como misión el fomento, la coordinación, el desarrollo y la difusión de la investigación científica y tecnológica, de carácter multidisciplinar, con el fin de contribuir al avance del conocimiento y al desarrollo económico, social y cultural, así como a la formación de personal y al asesoramiento a entidades públicas y privadas en estas materias.
En dicho marco, en particular, contribuyendo a la misión del CSIC, se plantea el presente proyecto «ENDS-Apoyo a Organismos» con la finalidad de materializar la disponibilidad de datos del CSIC, contemplados bajo el enfoque «One Health»1.
1 «One Health» (en castellano, «Una sola salud») es la estrategia multisectorial de salud pública que reconoce las interacciones e interdependencias entre la salud ambiental, animal y humana para prevenir y controlar los riesgos sanitarios derivados de dicha interfaz.
Todo ello supone un ingente potencial para suministro de datos al ENDS de cara a su puesta a disposición para investigadores sanitarios para el desarrollo de casos de uso a través de entornos de tratamiento seguro proporcionados por el ENDS.
Con todo ello, el Proyecto «ENDS-Apoyo a Organismos» para el CSIC se concreta en la incorporación al catálogo de datos del ENDS de los conjuntos de datos identificados por el CSIC y acordados con la DGDATO para su incorporación en la Memoria Técnica del proyecto.
Para ello, el CSIC recibirá el apoyo técnico de la DGDATO, que aportará equipo técnico y la infraestructura del ENDS, todo ello concretado en la Memoria Técnica del proyecto.
En todo caso, y de aplicación a la totalidad del proyecto objeto del presente convenio, el acceso a los datos del CSIC estará sujeto, en su caso, a las políticas y procedimientos de acceso a los mismos, definidos, implantados, gestionados y controlados por el CSIC.
El Proyecto, en global, incluirá, por parte del ENDS, la aportación de:
– Infraestructura tecnológica de almacenamiento, bases de datos y analítica de datos, con el dimensionamiento establecido en la correspondiente Memoria Técnica del Proyecto, y sujeta a disponibilidad por parte del ENDS. Con el objeto de publicar los metadadatos del CSIC y poner a disposición los correspondientes datos, conforme a su aplicación a casos de uso autorizados.
– En todo caso, el CSIC estudiará y valora el grado de uso requerido de dicha infraestructura tecnológica de almacenamiento, bases de datos y analítica de datos.
– Herramientas de normalización, explotación y análisis de datos para los investigadores, que faciliten la transformación y el aprovechamiento de los datos disponibles.
– En todo caso, el CSIC igualmente estudiará y valorará el grado de uso requerido de dichas herramientas de normalización, explotación y análisis de datos.
– Se debe contemplar dentro de la memoria técnica una transferencia del proyecto. Asimismo, en previsión de una posible transferencia del soporte, se realizará un control y gestión y administración de los usuarios de la infraestructura tecnológica, en el caso de que se provea desde DGDATO, y una validación de las peticiones por parte del CSIC que pudiese recibir el equipo de ENDS.
Adicionalmente, el apoyo por parte del ENDS al CSIC podrá contemplar, en su caso, y según el detalle incluido en la correspondiente Memoria Técnica del Proyecto, las siguientes actividades:
– Evaluación del estado de situación en el tratamiento y gestión de los datos (nivel de madurez).
– Identificación de conjuntos de datos de interés para el ENDS existentes.
– Asistencia en los procesos de generación, transformación, normalización y estandarización de diferentes bases de datos.
– Un Espacio Local de Datos de Salud (ELDS) operativo como espacio de datos operado por el CSIC, en los términos concretados, en su caso, en la Memoria Técnica del proyecto.
– Entornos de Tratamiento Seguro (ETS), operativos, para el desarrollo de casos de uso en el ámbito de los datos, conforme al alcance establecido en la Memoria Técnica del proyecto, en su caso.
– Infraestructura tecnológica de almacenamiento, bases de datos y analítica de datos, con el dimensionamiento establecido en el proyecto definido en la Memoria Técnica del proyecto, en su caso, y sujeta a disponibilidad por parte del ENDS.
– Implantación de modelos de Inteligencia Artificial de aplicación en el marco del ENDS.
– Transformación, depuración, normalización y puesta a disposición de los conjuntos de datos para el ENDS, reutilizables desde la información operacional y otras fuentes.
– Despliegue de tecnologías y herramientas PET («Privacy-Enhancing Technologies»).
En todo caso, y de aplicación a la totalidad del Proyecto contemplado en el objeto del presente convenio, el acceso a los datos CSIC estará sujeto a las políticas y procedimientos de acceso a los mismos, asimismo en todo caso definidos, implantados, gestionados y controlados por el CSIC.
Memoria Técnica del Proyecto
El detalle y planificación de los trabajos a realizar para el desarrollo del Proyecto definido en el presente anexo I se detallarán en una Memoria Técnica que será acordada formalmente por los respectivos responsables de cada parte, con el siguiente contenido mínimo:
1. Alcance y entregables.
2. Responsable DGDATO y responsable CSIC.
3. Cronograma general e hitos del proyecto.
4. Descripción de las actividades contempladas. Seguimiento acordado.
5. Recursos aportados por la DGDATO.
Dicha Memoria Técnica podrá modificarse por acuerdo de ambas partes, dentro del ámbito del proyecto definido en el anexo I del presente convenio, sin perjuicio de las modificaciones que puedan acordar sobre el propio anexo I, conforme lo establecido en la cláusula undécima del convenio.
Contrato de Encargado del Tratamiento en el ámbito del convenio entre la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Agencia Estatal Consejo Superior de Investigaciones Científicas para apoyo técnico e integración de conjuntos de datos de salud («One Health») en el marco del proyecto «Espacio Nacional de Datos de Salud»
1. Objeto del contrato
El presente contrato de Encargado del Tratamiento, que tiene la naturaleza de acto jurídico de conformidad con el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante RGPD), tiene por objeto la designación, en ejercicio de sus competencias como Responsable del Tratamiento, por parte de la Agencia Estatal Consejo Superior de Investigaciones Científicas (en adelante, CSIC), de la Dirección General del Dato (en adelante, DGDATO) como Encargado del Tratamiento de datos personales en el marco del presente convenio, estableciendo las condiciones que regularán la relación entre el Responsable del Tratamiento y el Encargado del Tratamiento, en cumplimiento de lo dispuesto por el artículo 28 del RGPD, de acuerdo a las estipulaciones de este convenio y a las que puedan establecerse durante el desarrollo del convenio en la Comisión de Seguimiento.
Mediante la firma del presente convenio, en el cual se incluye el presente Contrato como anexo II del mismo, la DGDATO acepta actuar como Encargado del Tratamiento, por cuenta del CSIC, en el tratamiento de datos de carácter personal en el marco de este convenio.
Si la DGDATO destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del convenio y/o la normativa vigente, será considerado también como Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
De acuerdo con el artículo 28.3 del RGPD, establecido el vínculo del Encargado respecto del Responsable, se procede a establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y del encargado, que se detallan en el presente Contrato.
2. Objeto del tratamiento
El objeto del tratamiento de datos personales en marco del presente convenio será la realización de la prestación objeto de este convenio, detallada en su anexo I.
3. Duración del tratamiento
El tratamiento de los datos por parte del Encargado del Tratamiento, de acuerdo con las instrucciones del Responsable del Tratamiento, no podrá en ningún caso extenderse más allá de la duración del presente convenio, prorrogándose en su caso por períodos iguales a éste, y deberá, en todo caso, cesar por completo a la extinción de este o a requerimiento del Responsable.
Al finalizar el tratamiento, el Responsable dará las instrucciones adecuadas de acuerdo con el artículo 28.3 g) del RGPD: a elección del Responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
Asimismo, y de acuerdo con el artículo 33.3 de la LOPDGDD, el Responsable del Tratamiento podrá solicitar que los datos sean entregados, en su caso, a un nuevo Encargado.
4. Naturaleza y finalidad del tratamiento
Conforme a la definición establecida en el artículo 4 del RGPD, tratamiento de datos personales será cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no.
En el marco de la prestación objeto del presente convenio, se llevarán a cabo únicamente los tratamientos imprescindibles para cumplir con dicho objeto y con las obligaciones de las partes.
Dichos tratamientos podrán ser los indicados a renglón seguido, sin perjuicio de los que, de similar naturaleza, pueda además establecer el Responsable del Tratamiento y que fueran necesarios para la prestación del servicio en que se enmarca el tratamiento:
– Recogida.
– Registro.
– Organización.
– Estructuración.
– Conservación.
– Cotejo.
– Adaptación o modificación.
– Extracción.
– Explotación.
– Interconexión.
– Consulta.
– Utilización.
– Supresión.
– Rectificación.
– Cifrado.
– Seudonimización.
– Sintetización.
– Anonimización.
5. Tipo de datos personales. Categorías de interesados y participantes
Inicialmente, los datos personales objeto de tratamiento serán los incluidos en los conjuntos de datos del CSIC, detallados en la correspondiente documentación técnica de dichos conjuntos de datos, mantenida por el CSIC.
En la Comisión de Seguimiento del convenio se podrá acordar la incorporación de otros conjuntos de datos con datos personales, siempre que respecto a los mismas corresponda al CSIC ejercer como Responsable del Tratamiento.
Los interesados serán personas físicas, usuarias del Sistema Nacional de Salud, cuyos datos personales pueden estar recogidos en las fuentes de datos respecto a las cuales corresponda al CSIC ejercer como Responsable del Tratamiento de sus datos personales, que se puedan acordar por la Comisión de Seguimiento del convenio.
Los participantes serán personas físicas o jurídicas que pueden tener acceso a los datos, ya sea anonimizados, seudonimizados o cifrados, en función de los procedimientos establecidos por el CSIC.
6. Obligaciones y derechos del Responsable del Tratamiento
1. El Responsable del Tratamiento determinará los fines y medios del tratamiento aplicable de acuerdo con el derecho nacional y de la Unión Europea y ejercerá las facultades de dirección, control u ordenación sobre el tratamiento de datos objeto del presente acuerdo.
Asimismo, aplicará las medidas técnicas y organizativas definidas en la política de protección de datos a los datos tratados, las cuales revisará y actualizará cuando sea necesario, a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa de protección de datos. Entre esas medidas se incluirán las medidas de seguridad que determina el Esquema Nacional de Seguridad.
2. El Responsable del Tratamiento asume las siguientes obligaciones:
– Autorizar al Encargado del Tratamiento el acceso los datos personales a los que se refiere la cláusula 5 de este contrato, de acuerdo con las instrucciones del Responsable, para la realización de las actividades contempladas en el objeto del convenio.
– Realizar cuando proceda una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado, con anterioridad al tratamiento y con la periodicidad adecuada para dar cumplimiento a dicha antelación. Para la adopción de medidas se tendrán en cuenta, en particular, los riesgos contemplados en el artículo 28.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En cualquier caso, la adecuación de las medidas se establecerá según el contexto, la naturaleza, el ámbito, los fines y riesgos para los derechos de los sujetos de los datos que impliquen los tratamientos.
– Realizar las consultas previas que correspondan a la autoridad de control de acuerdo con el artículo 36 del RGPD.
– Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado. La implementación de los principios, derechos y obligaciones del RGPD exige a los responsables la adopción de las medidas que sean adecuadas para conseguirlo: herramientas jurídicas, organizativas y también técnicas.
– Aplicar los principios de minimización y protección de datos desde el diseño y por defecto.
– Supervisar el tratamiento, incluida la realización de inspecciones y auditorías sobre los servicios prestados por el Encargado del Tratamiento que sean necesarias para dar cumplimiento a la legislación vigente.
7. Obligaciones y derechos del Encargado del Tratamiento
De conformidad con lo previsto en el artículo 28 del RGPD, el Encargado del Tratamiento se obliga a y garantiza el cumplimiento de:
– Tratar los Datos Personales conforme al convenio y las instrucciones documentadas en la ejecución del mismo, y aquellas que, en su caso, reciba del Responsable del Tratamiento por escrito en cada momento.
El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento cuando, en su opinión, una instrucción sea contraria a la normativa de protección de Datos Personales aplicable en cada momento.
– No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del convenio referenciado.
– Tomar las medidas de seguridad necesaria para tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.
Entre esas medidas se incluirán las medidas de seguridad que determina el Esquema Nacional de Seguridad.
– Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del contrato, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del Encargado del Tratamiento, siendo deber del mismo instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la prestación objeto del presente convenio o de su desvinculación.
– Llevar un listado de personas autorizadas para tratar los Datos Personales objeto del presente acuerdo y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición del Responsable del Tratamiento dicha documentación acreditativa.
– Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
– Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación.
– Nombrar Delegado de Protección de Datos, en caso de que sea necesario según el RGPD, y comunicarlo al Responsable del Tratamiento, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el Encargado del Tratamiento como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
– Una vez finalizada la prestación objeto del presente acuerdo, se compromete a devolver o destruir (i) los Datos Personales a los que haya tenido acceso; (ii) los Datos Personales generados por el Encargado del Tratamiento por causa del tratamiento; y (iii) los soportes y documentos en que cualquiera de estos datos conste, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El Encargado del Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
– Según corresponda, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, equipamiento que podrá estar bajo el control del Responsable del Tratamiento o bajo el control directo o indirecto del Encargado del Tratamiento, u otros que hayan sido expresamente autorizados por escrito por el Responsable del Tratamiento, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución de las actuaciones objeto del convenio referenciado.
– A tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en el convenio referenciado, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que, por causa de Derecho nacional o de la Unión Europea, el Encargado del Tratamiento se vea obligado a llevar a cabo alguna transferencia internacional de datos, este informará por escrito al Responsable del Tratamiento de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Responsable del Tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
– De conformidad con el artículo 33 RGPD, comunicar al Responsable del Tratamiento, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los Datos Personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución de las actividades contempladas en el convenio referenciado. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
– Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los «Derechos»), ante el Encargado del Tratamiento, éste debe comunicarlo al Responsable del Tratamiento con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
– Asistirá al Responsable del Tratamiento, siempre que sea posible, para que éste pueda cumplir y dar respuesta a los ejercicios de Derechos.
– Colaborar con el Responsable del Tratamiento en el cumplimiento de sus obligaciones en materia de (i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y (iii) colaborar en la realización, cuando proceda, de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
– Asimismo, pondrá a disposición del Responsable del Tratamiento, a requerimiento de este, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el convenio referenciado y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el Responsable del Tratamiento.
– Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Responsable del Tratamiento, a requerimiento de esta. Asimismo, durante la vigencia del convenio referenciado, pondrá a disposición del Responsable del Tratamiento toda información, certificaciones y auditorías realizadas en cada momento.
– Derecho de información: el Encargado del Tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
8. Subencargos de tratamiento asociados a subcontrataciones
Cuando esté prevista la posibilidad de la subcontratación de actividades del convenio referenciado, y en caso de que el Encargado del Tratamiento pretenda subcontratar con terceros la ejecución de actividades objeto del convenio y el subcontratista, si fuera contratado, deba acceder a Datos Personales, dicho Encargado del Tratamiento lo pondrá en conocimiento previo del Responsable del Tratamiento, identificando qué tratamiento de datos personales conlleva, para que el Responsable del Tratamiento decida, en su caso, si otorgar o no su autorización a dicha subcontratación.
En todo caso, para autorizar la contratación, es requisito indispensable que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde al Responsable del Tratamiento la decisión de si otorgar, o no, dicho consentimiento):
– Que el tratamiento de datos personales por parte del subcontratista se ajuste a la legalidad vigente, a lo contemplado en el convenio referenciado y a las instrucciones del Responsable del Tratamiento.
– Que el Encargado del Tratamiento y la empresa subcontratista formalicen un contrato de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente Contrato y en el convenio referenciado, los cuales serán puestos a disposición del Responsable del Tratamiento a su mera solicitud para verificar su existencia y contenido.
El Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros subcontratistas, dando así al Responsable del Tratamiento la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta del Responsable del Tratamiento a dicha solicitud por el Encargado del Tratamiento equivale a oponerse a dichos cambios.
Axencia Estatal Boletín Oficial do Estado
Avda. de Manoteras, 54 - 28050 Madrid
