Agencia Estatal Boletín Oficial del Estado
El Director general de la Tesorería General de la Seguridad Social y el Director general del Instituto de Mayores y Servicios Sociales, han suscrito un Convenio sobre cesión de información.
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente Resolución.
Madrid, 14 de noviembre de 2019.–El Subsecretario de la Presidencia, Relaciones con las Cortes e Igualdad, Antonio J. Hidalgo López.
En Madrid a 11 de septiembre de 2019.
REUNIDOS
De una parte, don Francisco Javier Aibar Bernad, Director general de la Tesorería General de la Seguridad Social (TGSS), como servicio común de la Seguridad Social, tutelado por el Ministerio de Trabajo, Migraciones y Seguridad Social, cargo para el que fue nombrado por Real Decreto 643/2018, de 22 de junio (BOE n.º 152, del 23), en virtud de las atribuciones previstas en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en función de su cargo, y en ejercicio de las facultades que le confiere el artículo 3 del Real Decreto 1314/1984, de 20 de junio.
De otra, don Manuel Martínez Domene, Director general del Instituto de Mayores y Servicios Sociales (Imserso), como entidad gestora de la Seguridad Social adscrita al Ministerio de Sanidad, Consumo y Bienestar Social a través de la Secretaría de Estado de Servicios Sociales, cargo para el que fue nombrado en virtud del Real Decreto 10/2019, de 18 de enero (BOE n.º 17, del 19), y facultado para su representación conforme a las atribuciones establecidas en el artículo 5 del Real Decreto 1226/2005, de 13 de octubre (BOE n.º 246, del 14).
Las partes intervienen en nombre y representación de sus respectivas instituciones, en ejercicio de las competencias que les están legalmente atribuidas, y se reconocen mutua y recíprocamente legitimidad y capacidad suficiente para obligarse mediante el presente convenio, en los términos que en él se contienen, y al efecto,
EXPONEN
I
La Tesorería General de la Seguridad Social es un Servicio Común de la Seguridad Social, dotado de personalidad jurídica al que compete la gestión de los recursos y la administración financiera del sistema en aplicación de los principios de solidaridad financiera y caja única. El Real Decreto 1314/1984, de 20 de julio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresa y la afiliación, altas y bajas de los trabajadores, así como la recaudación de cuotas y demás recursos de financiación del sistema de la Seguridad Social a la TGSS. Estas materias son reguladas posteriormente en el Reglamento General sobre inscripción de empresas y afiliación, altas, bajas y variaciones de los trabajadores en la Seguridad Social, aprobado por Real Decreto 84/1996, de 26 de enero y en el Reglamento General de Recaudación de la Seguridad Social, aprobado por Real Decreto 1415/2004, de 11 de junio, integrándose dicha gestión en los Ficheros Generales de Afiliación y de Recaudación, respectivamente.
El artículo 77.1. del texto refundido de la Ley General de la Seguridad Social, establece que los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto, entre otros supuestos, los recogidos en el apartado: d) La colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.
II
El Instituto de Mayores y Servicios Sociales (en adelante Imserso) es una Entidad Gestora de la Seguridad Social adscrita al Ministerio de Sanidad, Consumo y Bienestar Social, a través de la Secretaría de Estado de Servicios Sociales, con naturaleza de entidad de derecho público y capacidad jurídica para el cumplimiento de los fines que le están encomendados a tenor del artículo 66.1. c) del texto refundido de la Ley General de la Seguridad Social, aprobado por el Real Decreto Legislativo 8/2015, de 30 de octubre, tiene competencias en las siguientes materias:
– La gestión y seguimiento de las pensiones de invalidez y jubilación en sus modalidades no contributivas y en la forma prevista en el artículo 373 del texto refundido de la Ley General de la Seguridad Social.
– Los servicios complementarios de las prestaciones del sistema de Seguridad Social.
– El seguimiento de la gestión de las prestaciones económicas derivadas del texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, sin perjuicio de la gestión directa de estas prestaciones en las ciudades de Ceuta y de Melilla.
– La propuesta de normativa básica que garantice los principios de igualdad y solidaridad para la determinación de los baremos, a los efectos del reconocimiento del grado de discapacidad y de dependencia.
– La propuesta y ejecución, en su caso, de las funciones atribuidas a la Secretaría de Estado de Servicios Sociales en el artículo 2.2.a) del Real Decreto 1047/2018, de 24 de agosto, en concreto: «La articulación de la participación de la Administración General del Estado en el Sistema para la Autonomía y Atención a la Dependencia, en los términos previstos en la Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia.
– La propuesta, gestión y seguimiento de planes de servicios sociales de ámbito estatal en las áreas de personas mayores y de personas en situación de dependencia.
Para llevar a cabo la gestión antes descrita, al Imserso le sería necesario poder disponer de cierta información contenida en la base de datos de la TGSS. Por este motivo se ha dirigido a la TGSS solicitando su cooperación.
El artículo 3.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente convenio, de conformidad con las siguientes
CLÁUSULAS
El convenio tiene por objeto fijar las condiciones y términos de la colaboración entre la TGSS y el Imserso, para facilitar el acceso a dicho organismo a las bases de datos de los Ficheros Generales de Afiliación y de Recaudación. En lo que respecta a la forma y características de la autorización, asignación, funcionamiento y demás condiciones del acceso al Fichero General de Afiliación, se deberán ajustar a lo que se establece en la Orden de 17 de enero de 1996 («BOE» del 25).
La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva el desarrollo de las concretas funciones atribuidas por el ordenamiento jurídico al Imserso, que justifican su cesión.
Por el presente convenio la TGSS autoriza al Imserso la consulta a las siguientes transacciones:
– Del Fichero General de Afiliación:
ATT30: Situaciones adicionales de afiliación.
ATT31: Consulta situaciones adicionales de afiliación.
ATT64: Consulta de trabajadores.
ACC61: Consulta general de cuentas de cotización.
– Del Fichero General de Recaudación:
RCU05: relación de deuda de un período.
RCU06: historial de cobros y deudas.
RCU07: consulta de deuda por número de documento.
RBC01: consulta de bases de cotización.
La TGSS y el Imserso deberán ajustarse a lo estipulado en los siguientes puntos:
1.º La TGSS realizará la autorización inicial de acceso a las transacciones de los Ficheros Generales de Afiliación y Recaudación a que se refiere el presente convenio.
2.º La configuración del acceso objeto del presente convenio habrá de cumplir los siguientes principios establecidos por la Orden de 17 de enero de 1996 sobre control de acceso al sistema informático de la Seguridad Social.
– Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.
– Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, puedan crear, utilizar, modificar o suprimir la información.
– Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
3.º La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario autorizador con nivel 4, y éste a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.
El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.
4.º El usuario administrador/autorizador y subsidiariamente el Imserso es responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilará la correcta utilización de las autorizaciones concedidas.
5.º Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello en el momento de autorizar un usuario se cumplimentarán todos los campos exigidos tales como, características del puesto de trabajo e información complementaria, n.º de teléfono, fax, etc.
6.º Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
7.º Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos tres meses sin acceder a los Ficheros Generales de Afiliación y de Recaudación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.
Todos los usuarios identificados, así como sus responsables en el Imserso deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en el Título IX de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en el anexo I que se adjunta a este convenio. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la TGSS.
El control y seguridad de los datos suministrados se regirá por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y en los Documentos de Seguridad aprobados por la TGSS.
El órgano cesionario acepta y asume por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente convenio que facultará a la Tesorería para exigir las responsabilidades oportunas.
El Organismo cesionario será responsable frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La Tesorería podrá repetir contra el Organismo cesionario por cualquier indemnización que deba satisfacer derivado de dicho incumplimiento.
A través de los sistemas y medios informáticos de auditoria que facilite la TGSS, como órgano cedente e incluidos y detallados en el anexo II, el órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.
El Órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
1. Sin perjuicio de lo anterior, la TGSS, se reserva la facultad de:
A. Controlar, supervisar y/o auditar los accesos o la utilización que se de a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios o complementarios por la Unidad Nacional de Auditorias de la TGSS.
B. Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la TGSS sobre la corrección de los accesos, la custodia o la utilización de la información cedida.
C. Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieran sido utilizados.
2. El órgano cesionario acepta someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unidad Nacional de Auditorias de la TGSS, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.
La TGSS se reserva la facultad de revisar en cualquier momento posterior a la firma del presente convenio, las formas de acceso a los datos protegidos ya sea a través de acceso directo a ficheros, soporte físico o conexión telemática o electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponer alteración de las condiciones pactadas en este convenio.
Si como consecuencia de las actuaciones de control o auditoria o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.
Para facilitar el seguimiento y cumplimiento del convenio, se constituirá una Comisión de Seguimiento integrada, como mínimo, por dos representantes de la TGSS y dos del Imserso, a la que corresponde desarrollar y concretar las actuaciones de cooperación que se establezcan, así como velar por el cabal cumplimiento de los objetivos comunes perseguidos por ambas partes.
La Comisión se reunirá tantas veces como sea necesario para la buena marcha de las actuaciones a desarrollar en el marco del convenio.
La Comisión en su funcionamiento se regirá por lo previsto en el presente convenio y supletoriamente por lo estipulado en la Sección tercera, del Capítulo II, del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El presente convenio tendrá una duración de cuatro años, se perfeccionará por la prestación del consentimiento de las partes en los términos previstos en el apartado 8 del artículo 48 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y resultará eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal y publicado en el «Boletín Oficial del Estado».
De conformidad con lo dispuesto en el artículo 49 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en cualquier momento antes de la finalización del plazo previsto en el apartado anterior, los firmantes del convenio podrán acordar unánimemente su prórroga por un periodo de hasta cuatro años adicionales o su extinción.
No obstante, cualquiera de las partes podrá denunciar el presente convenio comunicándolo a la otra parte interviniente por escrito con tres meses de antelación a la fecha en la que se desee la terminación del mismo o, en su caso, de su prórroga.
El presente convenio podrá ser modificado por acuerdo de las partes a propuesta de cualquiera de ellas, a través de la Comisión de Seguimiento, mediante la suscripción del oportuno acuerdo de modificación formalizado antes de la finalización del convenio, y será eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal y publicado en el «Boletín Oficial del Estado».
El presente convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.
Son causa de resolución:
a) El transcurso del plazo de vigencia del convenio
b) El acuerdo unánime de todos los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un plazo de tres meses con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a las demás partes firmantes.
Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
d) Por decisión judicial declaratoria de la nulidad del convenio.
e) Cualquiera de las partes podrá denunciar el presente convenio comunicándolo a la otra parte interviniente por escrito con tres meses de antelación a la fecha en la que se desee la terminación del mismo o, en su caso, de su prórroga.
No obstante, si cuando concurra cualquiera de las causas de resolución del convenio existen actuaciones que en ese momento estén iniciadas, las partes podrán acordar su continuación hasta la finalización del plazo convenido para su ejecución, conforme a lo establecido en el art. 52.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Este convenio tiene naturaleza administrativa y su régimen jurídico está regulado en los artículos 47 a 53 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La Jurisdicción Contencioso-Administrativa será la competente para resolver las cuestiones litigiosas que pudieran suscitarse entre las partes en el desarrollo del presente convenio, dada la naturaleza administrativa de éste.
Se acuerda unánimemente resolver el convenio suscrito por los firmantes en fecha 30 de septiembre de 2010, dando lugar a su liquidación y extinción desde su publicación en el Boletín Oficial del Estado previa inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal.
Una vez el presente convenio adquiera eficacia jurídica, de conformidad con lo previsto en la cláusula décimo segunda, quedará resuelto, liquidado y extinguido el anterior convenio suscrito entre las partes en fecha 30 de septiembre de 2010. En consecuencia, el presente convenio sustituirá en su totalidad al extinto convenio firmado por las partes en fecha 30 de septiembre de 2010, procediendo posteriormente a dejar constancia de su resolución en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Del convenio suscrito el 30 de septiembre de 2010 no se derivan compromisos financieros.
Y, en prueba de conformidad, firman el presente convenio, en duplicado ejemplar, quedándose uno en poder de cada parte, en el lugar y fecha arriba indicados.–El Director general de la Tesorería General de la Seguridad Social, Francisco Javier Aibar Bernad.–El Director general del Instituto de Mayores y Servicios Sociales, Manuel Martínez Domene.
D./D.ª.............................................................................................................................., con DNI ....................., y adscrito/a ……………………......., por el presente documento
COMUNICA
Que, de conformidad con lo dispuesto en los artículos 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y 6 de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso, dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el Título IX de la Ley Orgánica 3/2018, de 5 de diciembre, así como a responsabilidades de cualquier otra naturaleza incluso penales.
............................, a .......... de ........................... de ..........
La cláusula octava del convenio de cesión de información entre la Tesorería General de la Seguridad Social y el Instituto de Mayores y Servicios Sociales, establece que a través de los sistemas y medios informáticos de auditoria que facilite la TGSS, el Imserso como órgano cesionario, deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquellos figuren incluidos.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Las partes implicadas en el proceso de auditoria son las siguientes:
1. Auditor Delegado del Instituto de Mayores y Servicios Sociales.
Sus funciones y competencias son:
– Será el interlocutor único en su relación con la TGSS en los temas que se refieran a Auditorias. Se relacionará con la TGSS a través de la Unidad Nacional de Auditorias (incardinada dentro de la Inspección de Servicios - Secretaría General).
– Su función principal será la de efectuar la auditoria mensual de los usuarios autorizados en su Organismo o Departamento.
– Realiza, sistematiza y analiza los datos de la auditoria mensual para el posterior envío del Resumen mensual del total de usuarios auditados con destino a la Unidad Nacional de Auditorias.
– Tendrá como mínimo un nivel 26 de complemento de destino, salvo petición justificada del órgano cesionario que solicitará la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorias.
– Se le asignará en SILCON un perfil de usuario auditor, dándosele de alta a estos efectos por la TGSS en el Departamento correspondiente. Las altas, bajas o sustituciones que se produzcan en la persona designada como Auditor Delegado deberán ser comunicados a la mayor brevedad posible a la Unidad Nacional de Auditorias.
– La Unidad Nacional de Auditorias, previa solicitud del Organismo externo, podrá autorizar la figura de auditor delegado suplente (que deberá cumplir los mismos requisitos de nivel que el auditor delegado y se le asignará también en SILCON un nivel 4) en los supuestos de vacante, ausencia o enfermedad del auditor delegado.
– El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan en SILCON un nivel 4. Ello es debido a que la tarea de auditoria no es informática sino de justificación documental de los accesos.
– En ningún caso podrán coincidir en la misma persona los cargos de Administrador SILCON y Auditor Delegado.
2. Unidad Nacional de Auditorias:
Serán funciones de la Unidad Nacional de Auditoria las siguientes:
– Realizar las auditorias de los accesos del Auditor Delegado del Organismo externo.
– Recibir, sistematizar y analizar los datos facilitados en el informe mensual de auditoria elaborado por el Auditor Delegado del Organismo externo.
– Asignación/Desasignación de un Departamento al Auditor Delegado del Organismo externo.
– Información y resolución de dudas e incidencias al Auditor Delegado del Organismo externo.
– Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorias se lleven a efecto por las unidades competentes, con unos criterios unificados.
– Formular propuestas y recomendaciones en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:
• Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
• Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
• Administrar las transacciones SILCON específicamente referidas al sistema de auditorías así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin la Unidad Nacional de Auditorias elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.
• Realizar auditorías específicas de accesos indebidos al Sistema de Confidencialidad cuando se produzcan denuncias por los titulares de los datos accedidos, cualquiera que sea su lugar de presentación y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.
– Coordinar y preparar la información que requiera la Dirección General para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorias cualquier escrito o solicitud que se reciba de dicha Agencia.
El procedimiento concreto de auditoria se pondrá en conocimiento del Organismo externo por parte de la Unidad Nacional de Auditorias antes del inicio de la auditoria mensual que proceda, la cual explicará dicho proceso y solicitará los datos personales del auditor delegado del Organismo externo.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
