Está Vd. en

Documento BOE-A-2021-20097

Resolución de 25 de noviembre de 2021, de la Secretaria General de Salud Digital, Información e Innovación del Sistema Nacional de Salud, por la que se publica el Convenio con la Comunidad Autónoma de La Rioja, para establecer las bases de la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica dentro de la Ehealth Digital Service Infrastructure.

Publicado en:
«BOE» núm. 290, de 4 de diciembre de 2021, páginas 150066 a 150077 (12 págs.)
Sección:
III. Otras disposiciones
Departamento:
Ministerio de Sanidad
Referencia:
BOE-A-2021-20097

TEXTO ORIGINAL

Suscrito el 24 de noviembre de 2021, Convenio entre el Ministerio de Sanidad y la Comunidad Autónoma de La Rioja, para establecer las bases de la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica (CBEHIS) dentro de la Ehealth Digital Service Infrastructure (EHDSI) en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio, que figura como anexo de esta Resolución.

Madrid, 25 de noviembre de 2021.–El Secretario General de Salud Digital, Información e Innovación del Sistema Nacional de Salud, Juan Fernando Muñoz Montalvo.

ANEXO
Convenio entre el Ministerio de Sanidad y la Comunidad Autónoma de La Rioja para establecer las bases de la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica (CBeHIS) dentro de la eHealth Digital Service Infrastructure (eHDSI)

REUNIDOS

De una parte, doña Carolina Darias San Sebastián, Ministra de Sanidad, según nombramiento conferido por el Real Decreto 56/2021, de 26 de enero, y en virtud de las facultades que le otorga el artículo 4.1 de la ley 50/1997, del Gobierno, así como los artículos 48.2 y 61, apartado k) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

De otra parte, la Excma. Sra. doña Sara Alba Corral, Consejera de Salud, debidamente facultada para este acto en virtud del cargo para el que fue nombrada mediante Decreto de la Presidenta 18/2021, de 9 de septiembre, actuando en nombre y representación de la Comunidad Autónoma de La Rioja en virtud de la delegación del Consejo de Gobierno mediante Acuerdo de fecha 5 de noviembre de 2019, otorgada de acuerdo con los artículos 23.g) y 25 de la Ley 8/2003, de 28 de octubre, del Gobierno e incompatibilidades de sus miembros.

El Ministerio de Sanidad (en adelante MS) y la Comunidad Autónoma de La Rioja podrán ser denominadas, individualmente, «la Parte» y, de forma conjunta, «las Partes».

Todas las Partes se reconocen la capacidad jurídica necesaria para suscribir el presente Convenio con el objeto de establecer las bases para los Servicios Transfronterizos de Información de Salud Electrónica (Cross-Border eHealth Information Services-CBeHIS), y en su virtud,

EXPONEN

Primero. Justificación normativa.

1. La Directiva 2011/24/UE, de asistencia sanitaria transfronteriza, dispone que los Estados Miembros de la Unión Europea (UE) garanticen la continuidad asistencial de los ciudadanos dentro de la UE. Con el objeto de posibilitar el cumplimiento de esta obligación, el artículo 14 de la Directiva crea la Red de Sanidad electrónica o eHealth Network (eHN), que se constituye como un organismo político y estratégico para la Salud Electrónica en Europa. Su cometido es desarrollar un Marco Europeo de Interoperabilidad para los Servicios Transfronterizos de Información de Sanidad Electrónica (Cross-Border eHealth Information Services-CBeHIS) con el fin de conseguir un alto nivel de confianza y seguridad, mejorando la continuidad asistencial y garantizando el acceso a una atención sanitaria segura y de alta calidad.

2. España es parte de la eHN desde su creación en 2011, participando como miembro a través del Ministerio de Sanidad. Este órgano europeo ha ido estableciendo las bases de la interoperabilidad en materia organizativa, semántica y técnica, así como un marco jurídico mediante la elaboración de un Acuerdo entre Autoridades Nacionales (en adelante Acuerdo Europeo) consensuado entre los Estados Miembros (en adelante EEMM) de la UE para la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica (CBeHIS), en el marco de la legislación de la UE y de las legislaciones nacionales.

3. El Acuerdo Europeo se sustenta sobre el principio de no interferencia en los ordenamientos jurídicos de los EEMM, y de la voluntariedad en la firma del mismo para la participación en estos servicios. Y dispone que, con independencia de la organización interna de cada EM, exista un único punto de comunicación organizativo y técnico, que actúe como responsable en la intermediación de estos datos con otros EEMM a través de la infraestructura europea o eHealth Digital Services Infrastructure (eHDSI).

4. El Acuerdo Europeo crea un marco de confianza entre los EEMM de la UE y materializa su compromiso de cumplir todos los criterios requeridos para participar en el CBeHIS.A la vez, proporciona una base jurídica en línea con la Directiva 2011/24/UE sostenible para el tratamiento de los datos relativos a la salud a los efectos de la asistencia sanitaria transfronteriza, pero flexible para adaptarse a la tecnología y futuros servicios que puedan integrarse en el CBeHIS.

Segundo. Justificación competencial en materia de Sistemas de Información del SNS para la suscripción de un Convenio con el objeto de participar en la provisión de servicios CBeHIS.

1. La Ley 16/2003, de 28 de mayo, de cohesión y calidad del SNS (LCC) atribuye al Ministerio de Sanidad (MS) la obligación de establecer los Sistemas de Información Sanitaria del Sistema Nacional de Salud que garanticen la disponibilidad de la información y la comunicación recíprocas entre las Administraciones sanitarias. El objetivo de estos sistemas de información será garantizar la interoperabilidad y circulación de los datos de salud para facilitar la información necesaria a cada colectivo de la sociedad: Autoridades Sanitarias, Profesionales, Ciudadanos y Organizaciones y Asociaciones.

Por otra parte, el Real Decreto 81/2014, de 7 de febrero, por el que se establecen normas para garantizar la asistencia sanitaria transfronteriza, y por el que se modifica el Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación, que transpone la Directiva 2011/24/UE al ordenamiento jurídico español, en sus artículos 5 y 6 dispone que, para garantizar la continuidad asistencial, desde las administraciones públicas se promoverá el acceso electrónico a la documentación clínica por medio de los sistemas de información dispuestos a tal efecto por el ordenamiento jurídico.

2. Los Sistemas de Información que posibilitan la comunicación de datos de salud dentro del Sistema Nacional de Salud y, por consiguiente, dentro del CBeHIS, son, entre otros, la Base de Datos de Tarjeta Sanitaria Individual, Historia Clínica Digital del Sistema Nacional de Salud y Receta Electrónica del Sistema Nacional de Salud.

3. El MS es competente para coordinar los mecanismos de intercambio electrónico de información clínica de estos sistemas, con el objeto de permitir a ciudadanos y profesionales el acceso a la información clínica necesaria, facilitando la asistencia sanitaria dentro del SNS y de los CBeHIS, y haciendo efectiva la continuidad asistencial de los ciudadanos nacionales y europeos.

4. Este intercambio se efectuará en los términos establecidos para garantizar la calidad de dicha asistencia y la confidencialidad e integridad de la información, cualquiera que fuese la Administración que la proporcione, y se efectuará siguiendo las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RDPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Tercero. Definiciones.

(a) Las siguientes definiciones describen el contexto, los componentes y las infraestructuras que han de dar soporte a los CBeHIS en el entorno de la Unión Europea y de los estados pertenecientes a la EFTA (Asociación Europea de Libre Comercio-AELC).

(b) eHN («eHealth Network»): Red Europea de Sanidad Electrónica de conformidad con el artículo 14 de la Directiva 2011/24/UE.

(c) CBeHIS («Cross-Border eHealth Information Services») o Servicios Transfronterizos de Información de Sanidad Electrónica: Son servicios que se proveen a través de los Puntos de Contacto Nacionales de Salud Electrónica (NCPeH) a los efectos de la atención sanitaria transfronteriza, tal y como fueron acordados por la Red Europea de Sanidad Electrónica (eHN) y aquellos que se acuerden por la eHN en el futuro.

(d) eHDSI («eHealth Digital Service Infrastructure») para CBeHIS: Infraestructura de Servicios Digitales de Sanidad Electrónica que permite la provisión del CBeHIS a través de los NCPeH y de la plataforma de servicios centrales europea. Esta infraestructura incluye servicios genéricos, desarrollados por los Estados miembros, así como una plataforma central de servicios de la Comisión Europea, tal como se definen por el Reglamento (UE) 283/2014, del Parlamento Europeo y del Consejo, de 11 de marzo de 2014 relativo a unas orientaciones para las redes transeuropeas en el sector de las infraestructuras de telecomunicaciones y por el que se deroga la Decisión n.º 1336/97/CE.

(e) NCPeH («National Contact Points for eHealth»): Punto de Contacto Nacional para Sanidad Electrónica, que actúa como único punto de comunicación organizativo y técnico para la provisión del CBeHIS.

(f) Autoridad nacional responsable del NCPeH: en el caso de España es el Ministerio de Sanidad.

(g) «Technical Communication Gateway». Solución técnica de comunicación seleccionada por el NCPeH para poder proporcionar un intercambio transfronterizo de datos de salud.

(h) Infraestructura nacional: infraestructura tecnológica del Ministerio de Sanidad, exceptuando el «Technical Communication Gateway», y de las CCAA e INGESA, necesaria para la prestación de CBeHIS y los servicios de los sistemas de información del SNS.

(i) Intranet sanitaria: red de datos privada y segura, que permite la interconexión del Ministerio de Sanidad con las CCAA e INGESA.

(j) «Regional contact point for eHealth»: Nodo Regional para Sanidad Electrónica de la Comunidad Autónoma e INGESA, integrado por el nodo de HCDSNS de la Comunidad Autónoma e INGESA (puede ser o no el Cliente HCDSNS-CA y HCDSNS-INGESA proporcionado por el MS) y los Sistemas concentradores de Historia Clínica Electrónica (HCE) que se conectan con HCDSNS.

Cuarto. Convenio entre el Ministerio de Sanidad y las Comunidades Autónomas e INGESA.

1. El artículo 143 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), establece que las Administraciones cooperarán al servicio del interés general y podrán acordar de manera voluntaria la forma de ejercer sus competencias que mejor sirva a este principio, y que la formalización de relaciones de cooperación requerirá la aceptación expresa de las partes, formulada en acuerdos de órganos de cooperación o en convenios. Para hacer efectiva esta cooperación, la LRJSP establece los instrumentos de colaboración definidos en el artículo 47 de la LRJSP como «los acuerdos con efectos jurídicos adoptados por las Administraciones Públicas, los organismos públicos y entidades de derecho público vinculados o dependientes o las Universidades públicas entre sí o con sujetos de derecho privado para un fin común».

2. Para que el marco jurídico descrito y el compromiso a nivel europeo se haga extensivo a las Comunidades Autónomas (CCAA) e INGESA, y en base a la referida LRJSP, el Ministerio y aquellas CCAA e INGESA que participen con sus Servicios de Salud y/o Consejerías de Sanidad en los CBeHIS, deben suscribir un Convenio que disponga, en el contexto nacional, las responsabilidades y obligaciones que recoge el Acuerdo Europeo, que serán aplicables a todas las partes, con el objeto de garantizar la adecuada provisión de los CBeHIS. Al tratarse de un Convenio entre dos Administraciones Públicas distintas, el marco aplicable será el definido en el artículo 47.2.a) de la LRJSP.

3. Asimismo, los responsables del tratamiento deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento 2016/679/UE.

4. Por todo lo anterior, a través de este Convenio se regulan:

(a) el funcionamiento del Punto Nacional de Contacto para sanidad electrónica (National Contact Point for eHealth-en adelante NCPeH), cuya responsabilidad recaerá en el Ministerio de Sanidad.

(b) las responsabilidades principales del Ministerio de Sanidad y de las CCAA e INGESA para la prestación de CBeHIS.

(c) la responsabilidad y obligaciones de las partes en el tratamiento de los datos, que no puedan generalizarse en un acuerdo a nivel europeo y deba llevarse a cabo a nivel nacional, de acuerdo con las definiciones del artículo 4.7) y 4.8) del Reglamento 2016/679/UE, sobre la base de las peculiaridades nacionales, y de los artículos 13 y 14 acerca de la información que se proporcionará a los pacientes sobre sus derechos en el CBeHIS.

En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente convenio, de conformidad con las siguientes,

CLÁUSULAS

Primera. Objeto del Convenio.

El Objeto del presente Convenio es doble:

1. Desarrollar, para el SNS, el Acuerdo entre las Autoridades Nacionales responsables de los Puntos de Contacto Nacionales de Salud Electrónica (Acuerdo Europeo), para participar en los Servicios Transfronterizos de Información de Sanidad electrónica (CBeHIS). Para ello, el Convenio debe desarrollar y adaptar a las especificidades del SNS las obligaciones y responsabilidades que se disponen en ese Acuerdo Europeo, aprobado por la eHN, en base a la Directiva 2011/24/UE.

2. Establecer las medidas organizativas y técnicas, así como las obligaciones y deberes que corresponden al MS y a la Comunidad Autónoma de La Rioja, en materia de protección de datos personales, atendiendo a la responsabilidad respectiva que existe entre todos los actores involucrados en el intercambio de información a nivel SNS y a nivel de la UE en el marco establecido para los CBeHIS.

Segunda. Infraestructura europea y nacional dentro del marco CBeHIS.

i. Los Servicios CBeHIS. Estructura y composición: servicios que se conectan con eHDSI bajo corresponsabilidad del MS y de la Comunidad Autónoma de La Rioja. Estos servicios son: Resumen de Paciente (Patient Summary) y Dispensación electrónica (ePrescription/eDispensation), sin perjuicio de otros servicios futuros que se puedan incorporar dentro de los CBeHIS por consenso de la eHN.

ii. La infraestructura eHDSI. La Infraestructura de Servicios Digitales de Salud Electrónica permite la provisión del CBeHIS a través de los NCPeH. Esta infraestructura proporciona a los profesionales sanitarios acceso a la información clínica de los ciudadanos nacionales y europeos que requieran asistencia sanitaria u obtener su medicación prescrita dentro de la UE y fuera de su país de afiliación. Esta información se facilita por medios electrónicos, en cualquier momento, entre aquellos Estados Miembros de la UE que hayan habilitado los mecanismos para tal comunicación y bajo la aprobación de la eHN.

En base a los artículos 2(2)e y 2(2)d del Reglamento UE/283/2014, dicha infraestructura comprende:

(a) Plataforma de servicios centrales europeos (servicios centrales) que incluye la red de datos TESTA y los servicios terminológicos que gestionan el Master Value set Catalog (MVC) y el Master Translation Catalog (MTC), así como los servicios centrales de configuración dentro del marco de CBeHIS responsabilidad de la Comisión Europea.

(b) Servicios genéricos. Los servicios de pasarela («Technical Communication Gateway») que conectan una o más infraestructuras nacionales entre sí, y a las plataformas centrales de servicios responsabilidad de cada uno de los países miembros que firmen el Acuerdo europeo.

En el caso del SNS, esta solución técnica se materializa en la implementación software OpenNCP y el conector nacional de España, sin perjuicio de que dicha materialización de software pueda modificarse en un futuro.

iii. Servicios nacionales dentro de los Sistemas de Información del SNS necesarios para la prestación de los servicios CBeHIS. La comunicación de la información clínica con los servicios CBeHIS (Cross Border eHealth Information Services) se efectuará, a nivel nacional, a través de la infraestructura creada para los Sistemas de Información del SNS regulados en el ordenamiento jurídico español, entre los que se encuentran los mencionados en la Ley 16/2003, de 28 de mayo, de cohesión y calidad del SNS. Los sistemas de información del SNS incluyen los servicios de Base de Datos de Usuarios de Tarjeta Sanitaria Individual (BDU-TSI), los servicios de Historia Clínica Digital del SNS (HCDSNS), y los servicios de Receta Electrónica del SNS (RESNS), sin perjuicio de que éstos puedan ampliarse, en base a las modificaciones que pueda sufrir la normativa, así como los requisitos técnicos y funcionales acordados a nivel europeo en el seno de la eHN.

iv. Autoridad nacional designada para operar el NCPeH. El Ministerio de Sanidad es la autoridad nacional designada para operar como NCPeH en los términos de las cláusulas I.2 y III.1.1 del Acuerdo Europeo y en cumplimiento del artículo 23.2 del Real Decreto 81/2014, de 7 de febrero.

v. Infraestructura de la Comunidad Autónoma de La Rioja para la prestación de CBeHIS a través del NCPeH. Los elementos que constituyen la infraestructura de la Comunidad Autónoma de La Rioja, en el marco CBeHIS, permitirán establecer esa comunicación de información clínica y podrán incluir entre otros:

a) nodos regionales de interconexión con los sistemas centrales del SNS.

b) registro de profesionales que permitan la identificación de profesionales sanitarios.

c) registro de población protegida del SNS que permita su inequívoca identificación.

d) registros de información clínica.

e) cualesquiera otros sistemas técnicos necesarios para la prestación de CBeHIS.

Tercera. Responsabilidades en el tratamiento de datos personales y datos personales de salud.

1. Responsabilidad en el tratamiento de los datos personales.

1.1 Responsables del tratamiento. De acuerdo con el artículo 4.7 del RGPD, se consideran responsables del tratamiento las Partes firmantes de este Convenio, MS y la Comunidad Autónoma de La Rioja, en relación con las operaciones de tratamiento de datos personales que lleven a través de las infraestructuras referidas en la cláusula segunda, y deberán cumplir las obligaciones inherentes a tal condición.

1.2 Encargados del tratamiento. Las Partes firmantes del Convenio, en tanto responsables del tratamiento, podrán contratar con terceros actividades o servicios que conlleven la participación en la provisión de servicios del CBeHIS. Éstos serán considerados encargados del tratamiento de conformidad con los artículos 4.8 del RGPD y 33 de la LOPDGDD, actuando al amparo de un acto o negocio jurídico de acuerdo con el artículo 28 del RGPD, cuya regulación no podrá ser contradictorias con las cláusulas del presente convenio y con cuantos documentos o especificaciones técnicas se desarrollen para proveer los servicios CBeHIS por cada una de las partes.

Todas las partes aceptan que la Comisión Europea actuará como encargado del tratamiento de aquellos datos personales de pacientes que sean tratados a través de la Infraestructura de Servicios Digitales de eSalud (eHDSI) para los CBeHIS. En su calidad de encargado del tratamiento, la Comisión administrará los servicios básicos de eHDSI para los CBeHIS según dispone la Decisión de Ejecución (UE) 2019/1765, de la Comisión, de 22 de octubre de 2019, por la que se establecen las normas para el establecimiento, la gestión y el funcionamiento de la red de autoridades nacionales responsables de la sanidad electrónica y por la que se deroga la Decisión de Ejecución 2011/890/UE.

1.3 Normativa aplicable. Cada organización designada por un Estado Miembro asume la responsabilidad del tratamiento de datos en lo que respecta a las operaciones de recopilación, acceso, almacenamiento, transferencia y demás actividades de tratamiento de datos de la información clínica dentro del marco del CBeHIS y la infraestructura eHDSI. Esto significa que los datos personales se registran, transfieren y almacenan de acuerdo con el RGPD y con la normativa de protección de datos del país en el que el paciente reciba asistencia sanitaria (o país de tratamiento).

2. Principios relativos al tratamiento de datos personales. El tratamiento de datos personales que lleven a cabo los responsables del tratamiento, y en su caso, los encargados del tratamiento, deberán cumplir los principios recogidos en el artículo 5 del RGPD.

2.1 Las bases jurídicas del tratamiento son las previstas en el artículo 6.1 c), d) y e) del RGPD y lo dispuesto en el artículo 9.2 h) e i) del RGPD en relación con el Directiva 2011/24/UE de asistencia Sanitaria Transfronteriza, el Real Decreto 81/2014, de 7 de febrero, de transposición de la misma y la Disposición Adicional Decimoséptima de la LOPDGDD que al amparo de las letras g), h), i) y j) del artículo 9.2 RGPD legitima el tratamiento de datos relacionados con la salud que estén regulados en las siguientes leyes y su normativa de desarrollo: la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud y la Ley de garantías y uso racional de los medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.

2.2 Los datos objeto de tratamiento sirven a la finalidad de garantizar la asistencia sanitaria transfronteriza, a través de la comunicación de la información clínica, de los ciudadanos y/o pacientes nacionales y europeos, que se acuerde dentro del marco CBeHIS. La comunicación se efectuará entre las Autoridades Nacionales o las Organizaciones Nacionales responsables de los NCPeH dentro de los Estados Miembros de la UE y la EFTA (Asociación Europea de Libre Comercio). A nivel SNS estos datos se comunicarán entre la Comunidad Autónoma de La Rioja, y el MS para lo cual se utilizará la infraestructura nacional existente para los Sistemas de Información que dispone la Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del SNS.

Los responsables del tratamiento garantizarán que el tratamiento ulterior de los datos personales de salud cumpla con los principios y condiciones establecidos en el RGPD, en particular el párrafo 1 del artículo 5 (b), en relación con el artículo 89, o su artículo 6, apartado 4, y la legislación nacional acorde con el RGPD.

Los responsables del tratamiento, y los encargados del tratamiento en su caso, accederán únicamente a los datos que sean estrictamente necesarios para el desarrollo de sus funciones.

2.3 Los responsables del tratamiento garantizan el cumplimiento del principio de confidencialidad en relación con los profesionales que accedan a los sistemas de información a los que se refiere la cláusula Segunda iii del presente convenio.

Los profesionales estarán sujetos en todo caso, al deber de confidencialidad previsto en el artículo 5 de la LOPDGDD, y el acceso a la información se efectuará en los términos y con los límites que dispone la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación, así como en el Real Decreto Legislativo 1/2015, de 24 de julio, por el que se aprueba el texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, y la normativa de desarrollo.

2.4 La Comunidad Autónoma de La Rioja, es responsable de la identificación y autorización de los profesionales de la salud competentes para el tratamiento de los datos personales de los ciudadanos nacionales y europeos. Esta autorización se efectuará en los términos que disponga la normativa nacional y autonómica, así como en los términos consensuados y/o /acordados a nivel SNS por el MS y la Comunidad Autónoma de La Rioja.

Los responsables del tratamiento impedirán el acceso no autorizado o ilícito a los sistemas de información, de acuerdo con el articulo 32.1 b) del RGPD, a través de la identificación y autorización de los profesionales de la salud competentes para el tratamiento de los datos personales de los ciudadanos nacionales y europeos.

3. Categorías de datos. Las categorías de datos que se comunicarán dentro del CBeHIS serán datos personales de tipo identificativo, datos de filiación y contacto, y categorías especiales de datos personales, entre ellos, datos personales de salud.

Concretamente, la información clínica objeto de tratamiento se detalla en el documento «European Guidelines on Patient Summary and ePrescription», elaborado y aprobado por la eHN, así como en otros documentos o especificaciones técnicas europeos y nacionales vinculados a las mismas. La eHN, en base al artículo 14 de la Directiva 2011/24/UE de Asistencia Sanitaria Transfronteriza y la Decisión de Ejecución (UE) 2019/1765, de la Comisión, de 22 de octubre de 2019, acordará aquellos documentos que sean precisos para el intercambio de otros informes clínicos de la Historia Clínica.

4. Información sobre el tratamiento de datos personales. El MS y la Comunidad Autónoma de La Rioja serán responsables de informar a ciudadanos y pacientes nacionales y europeos en relación a los CBeHIS y para el cumplimiento de los artículos 13 y 14 del RGPD. Para cumplir con esta obligación, el MS elaborará la Nota Informativa de Paciente (Patient Information Notice-PIN) que compartirá con las CCAA e INGESA.

La Comunidad Autónoma de La Rioja podrá adaptar el texto básico elaborado por el MS a las particularidades de su Sistema de Información autonómico, en su caso. Los Servicios de Salud autonómicos e INGESA serán responsables de la provisión efectiva y en forma de dicha información.

El MS publicará el PIN en su página web al objeto de que esté disponible para todos los ciudadanos nacionales y europeos, en aras de fomentar la transparencia de las políticas de protección de datos en el marco del CBeHIS.

5. Ejercicio de Derechos. La Comunidad Autónoma de La Rioja, competente en cada caso, será responsable de tutelar el ejercicio por parte de cualquier interesado, respecto de los derechos indicados en los Artículos 15 a 22 RGPD que sean aplicables, esto es, derechos de acceso, rectificación, limitación y oposición. La Comunidad Autónoma de La Rioja informará a los pacientes a los que presten asistencia dónde y en qué forma pueden ejercer sus derechos. No obstante, lo anterior, deberá tenerse en cuenta que a los interesados les asiste el derecho de poderse dirigir su solicitud, para poder ejercer estos derechos frente a, y en contra de, cualquiera de las Partes, así como de las organizaciones que estas designen.

Las partes, en calidad de responsables del tratamiento, actuarán en base al principio de cooperación entre administraciones públicas, en aras de dar tutela efectiva a los derechos que asisten a los interesados.

6. Decisiones individuales automatizadas y elaboración de perfiles. En todo caso, las partes tratarán la información del interesado con fines legítimos y determinados para dar cumplimiento a las funciones derivadas de los servicios CBeHIS.

No se elaborarán perfiles con los datos personales de los interesados, ni se tomarán decisiones automatizadas en base a los mismos. En el desarrollo de las funciones de las partes, se tratarán datos de categoría especiales de los indicados en el artículo 9 del RGPD.

7. Delegados de Protección de Datos. La Comunidad Autónoma de La Rioja y el MS facilitarán el contacto de sus respectivos Delegados de Protección de Datos o de aquellos expertos en la materia que designen, al objeto de abordar las cuestiones que acaezcan en materia de protección de datos durante la provisión de los servicios CBeHIS a través de la infraestructura eHDSI.

8. Sistemas de Gestión del Riesgo. Las partes firmantes del Convenio adoptarán medidas para la instauración de sistemas permanentes de gestión del riesgo en el tratamiento de datos personales, a fin de proteger los derechos y libertades de los afectados y garantizar el cumplimiento del RGPD.

Cuarta. Obligaciones y responsabilidades de las partes.

El Acuerdo Europeo será aplicable al SNS según los siguientes requisitos:

I. Requisitos organizativos.

1. La comunicación de España con otros Estados Miembros, en el marco de los CBeHIS, se efectuará a través de un único NCPeH.

2. El Ministerio de Sanidad, como autoridad nacional responsable del NCPeH, velará por el cumplimiento del presente Convenio, así como de aquellos consensos alcanzados a nivel europeo por parte de la eHN para el correcto desarrollo de los servicios CBeHIS.

Las partes del presente Convenio, cumplirán la normativa aplicable para el desempeño de sus respectivas competencias y el correcto funcionamiento de los sistemas de información.

3. La Comunidad Autónoma de La Rioja será responsable de la identificación, autenticación y autorización de los profesionales sanitarios dentro de su ámbito competencial para la operación de los servicios CBeHIS. Esto incluirá la operación de los sistemas Proveedores de Identidad («Identity Providers») a nivel autonómico.

4. La comunicación de datos de profesionales sanitarios del SNS con otros Estados Miembros será acorde con lo dispuesto en el Real Decreto 81/2014, de 7 de febrero de transposición de la Directiva 2011/24/UE de asistencia sanitaria transfronteriza.

Para la operación de los CBeHIS, la Comunidad Autónoma de La Rioja y el MS, dentro de su respectivo ámbito competencial, serán responsables de la identificación inequívoca de los ciudadanos y pacientes cuyo Estado de afiliación sea España, en los términos que dispone el Real Decreto 183/2004, de 30 de enero, por el que se regula la tarjeta sanitaria individual.

La Comunidad Autónoma de La Rioja serán responsables de la identificación de ciudadanos y pacientes cuyo Estado de afiliación sea otro estado miembro.

5. Las partes se comprometen al establecimiento de procedimientos y mecanismos de soporte que garanticen la continuidad de los CBeHIS.

6. Las partes garantizarán que se cumplen los acuerdos de nivel de servicio consensuados entre ellas, que garanticen los CBeHIS.

7. MS y la Comunidad Autónoma de La Rioja efectuarán una monitorización de las novedades y modificaciones legislativas y su impacto en los servicios de intercambio de información clínica. Esta monitorización y adecuación a las novedades y modificaciones legislativas, se efectuará en base a la normativa vigente en la materia, así como a los procedimientos que a tal efecto se deriven de esta.

8. MS y la Comunidad Autónoma de La Rioja deberán realizar las pruebas, tests y auditorías oportunas para probar el correcto funcionamiento de los servicios antes y después de la entrada en producción de los mismos, siempre que fuera necesario según los acuerdos alcanzados en la eHN y en el SNS.

II. Requisitos semánticos.

1. La Comunidad Autónoma de La Rioja usarán el «Master Valueset Catalogue» (MVC) de la infraestructura eHDSI y, en caso de que sean aplicables, las versiones nacionales vigentes y versionadas de terminologías, clasificaciones y nomenclaturas que hayan sido adoptadas como estándares nacionales para la generación de contenidos clínicos.

2. Los Responsables del Tratamiento de la Comunidad Autónoma de La Rioja deberán garantizar la fidelidad, la exactitud y la integridad del procesamiento semántico de los contenidos que generen, hasta que se produzca su comunicación al NCPeH.

3. La Comunidad Autónoma de La Rioja deberá designar al menos una persona experta en interoperabilidad semántica, que se deberá hacer cargo de las labores comunes o específicas de los casos de uso, para garantizar el servicio en condiciones óptimas de fidelidad a los significados y de seguridad clínica.

4. La estructura y la conformación de los contenidos serán reguladas por el MS a través de Normas Técnicas. Dichas normas establecerán especificaciones de modelos de información y recursos de terminología que deberán ser periódicamente aprobadas y actualizadas.

5. El MS será responsable de la provisión y la actualización de los recursos semánticos de referencia aplicables a escala nacional y necesarios para el conformar contenidos comunicables en el contexto de los servicios CBeHIS, en los términos establecidos en Cláusula II.3 del Acuerdo Europeo.

6. El MS efectuará, para los servicios CBeHIS que se acuerde entre las partes, aquellas adaptaciones necesarias para cumplir los requisitos semánticos acordados a nivel europeo. La Comunidad Autónoma de La Rioja adaptará en sus sistemas aquellas especificaciones semánticas que sean precisas para la implementación y correcto funcionamiento de los CBeHIS, según se establezca entre las partes.

7. El MS será responsable de organizar, acordar y coordinar las auditorías que deban efectuarse sobre los contenidos comunicables producidos por la Comunidad Autónoma de La Rioja. Dichas auditorías abarcarán aspectos de modelado de la información, enlace terminológico y valores de los elementos de datos.

III. Requisitos técnicos.

1. El Ministerio de Sanidad y la Comunidad Autónoma de La Rioja implementarán aquellos requisitos tecnológicos que sean acordados a nivel europeo en la eHN para el desarrollo y correcto funcionamiento de los CBeHIS y concretamente de la infraestructura eHDSI.

2. Los sistemas de información involucrados en la comunicación de información clínica de los CBeHIS, que incluyen los sistemas de información de Tarjeta Sanitaria, Historia Clínica Nacional, Receta Electrónica Nacional y Nodo de interoperabilidad europea, cumplirán los requisitos del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), en función de su categorización.

3. Corresponde a las partes observar la aplicación de las medidas de seguridad recogidas en el Anexo II del ENS aplicables a dichos sistemas en función de su nivel seguridad, así como las medidas correspondientes de las previstas en dicho esquema al tratamiento de los datos personales de conformidad con en el artículo 32 del RGPD y la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Quinta. Gobernanza del acuerdo.

i. Firma, vigencia y terminación del Convenio.

Firma:

(1) A la entrada en vigor del Convenio, la Comunidad Autónoma de La Rioja deberá cumplir los criterios establecidos para la participación en el CBeHIS, tal y como estipula el presente Convenio.

(2) La admisión de un sujeto firmante en el CBeHIS, de conformidad con la Cláusula III.1.2.1 del Agreement y lo dispuesto por la eHN, implica el cumplimiento, de manera incondicional, de todos los criterios legales, técnicos y funcionales aplicables para la provisión de los servicios CBeHIS, tendrá lugar tras la inscripción del convenio en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal.

Período de vigencia y terminación:

(1) El presente Convenio se perfeccionará, tal como establece el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, por la prestación del consentimiento de las partes. Este Convenio resultará eficaz una vez inscrito, en el plazo de 5 días hábiles desde su formalización, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, al que se refiere la disposición adicional séptima de la Ley 40/2015, de 1 de octubre. Asimismo, será publicado en el plazo de 10 días hábiles desde su formalización en el «Boletín Oficial del Estado», sin perjuicio de su publicación facultativa en el boletín oficial de la comunidad autónoma que corresponda a la otra administración firmante»

(2) El Convenio se mantendrá en vigor por cuatro años, siendo prorrogable hasta cuatro años adicionales, según lo dispuesto en el artículo 49 de la Ley 40/2015.

ii. Comisión de Seguimiento del Convenio.

Se establece una Comisión de Seguimiento del presente Convenio constituida por un representante del Ministerio de Sanidad y otro Representante de la Comunidad Autónoma de La Rioja. Los miembros de esta Comisión podrán ser sustituidos por las personas que éstos designen. La sustitución, con carácter definitivo o temporal, de cualquiera de los miembros de la Comisión de Seguimiento, será anunciada en la convocatoria de la reunión correspondiente, y quedará debidamente reflejada en el acta de la misma.

La presidencia de la Comisión de Seguimiento corresponderá al Ministerio de Sanidad. A la Comisión de Seguimiento podrán asistir invitados de cada una de las partes, que actuarán con voz, pero sin voto.

La Comisión de Seguimiento se reunirá en sesión constitutiva en el plazo de un mes desde que el convenio sea eficaz y podrá reunirse cuantas veces considere necesario para la ejecución del mismo. En todo caso, se reunirá como mínimo una vez al año y siempre que lo solicite alguno de los miembros que la componen.

Corresponderá a la Comisión de Seguimiento definir las líneas generales de las actuaciones a realizar en interpretación de lo establecido en el presente convenio, así como supervisar la ejecución de las mismas.

Adicionalmente a las funciones previstas, la Comisión de Seguimiento resolverá los problemas de interpretación y cumplimiento que se deriven del mismo. Asimismo, podrá proponer mejoras y modificar las actuaciones previstas en el Convenio, siempre que dichas mejoras y modificaciones no supongan una alteración sustancial del objeto del presente Convenio.

iii. Régimen económico del Convenio.

El presente Convenio no lleva aparejada obligación económico-financiera alguna para las partes.

iv. Incumplimiento del Convenio.

En caso de incumplimiento del Convenio por alguna de las partes, la Comisión de seguimiento podrá notificar un requerimiento con el plazo que se estime oportuno para subsanar el incumplimiento. Ante un incumplimiento, para garantizar la seguridad en el funcionamiento de los servicios CBeHIS, se pondrán en marcha el mecanismo de suspensión técnica de los servicios, que se regula en el punto v. de esta cláusula quinta. Este requerimiento será comunicado a las partes firmantes.

Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la Comisión de Seguimiento notificará a la parte que incumple su exclusión de la provisión de los servicios CBeHIS y la resolución del Convenio, que será notificada a las partes firmantes.

La resolución del Convenio no afectará a los compromisos y responsabilidades en los que hayan incurrido las Partes en la provisión de los servicios CBeHIS antes de dicha resolución.

v. Admisión y suspensión técnica en los servicios CBeHIS.

Admisión en los servicios CBeHIS:

El Ministerio de Sanidad actúa como Autoridad Nacional u Organización Nacional responsable del NCPeH en los términos que dispone el Agreement, autorizando la participación de las comunidades autónomas, o entidades que estas designen, en CBeHIS.

Para que la Comunidad Autónoma de La Rioja pueda operar en CBeHIS, el Ministerio de Sanidad autorizará su puesta en producción según lo dispuesto en este Convenio y los requisitos consensuados por la eHN.

Suspensión técnica de los servicios CBeHIS.

(1) El Ministerio de Sanidad puede suspender a la Comunidad Autónoma de La Rioja, o a la entidad que esta designe, de la provisión de los servicios CBeHIS ante un incumplimiento de acuerdo con el epígrafe (2).

(2) La suspensión técnica de la Comunidad Autónoma de La Rioja de los servicios CBeHIS, o entidad que esta designe para la provisión de los servicios, podrá ser provisional o indefinida. La Comisión de Seguimiento decidirá en relación a la suspensión técnica, cuando identifique que una de las partes está incumpliendo las obligaciones recogidas en este convenio. Las partes serán informadas acerca de este hecho con el objeto de aplicar las medidas técnicas y organizativas que procedan.

La suspensión técnica provisional se levantará si la parte que incumple los criterios desistiera de su incumplimiento. Asimismo, esta suspensión técnica provisional será indefinida si la parte incumplidora de las obligaciones recogidas en este convenio persiste en dicho incumplimiento por no proceder a su subsanación en el plazo indicado por la Comisión de Seguimiento. En este caso, se procederá a su exclusión del servicio CBeHIS y se resolverá el Convenio tal como se indica en el punto iv de la cláusula quinta.

vi. Extinción del Convenio.

La extinción del presente Convenio se regirá por lo dispuesto en el artículo 51 de la Ley 40/2015, de 1 de octubre. Concretamente, será motivo de extinción el incumplimiento de las cláusulas del presente Convenio y normativa aplicable por alguna de las partes.

Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio.

vii. Modificación del Convenio.

Aquellas modificaciones que supongan una alteración sustancial del Convenio, requerirán el acuerdo unánime de los firmantes. La Comisión de Seguimiento efectuará una propuesta de modificación, cuya adopción se someterá a la firma de las partes.

viii. Régimen jurídico.

El presente Convenio tiene naturaleza administrativa y se regirá por lo dispuesto en el Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

ix. Resolución de conflictos.

Tras la inscripción del convenio en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, las partes se comprometen a resolver de mutuo acuerdo las incidencias que puedan surgir en su cumplimiento.

Las cuestiones litigiosas que surjan entre las partes durante el desarrollo y ejecución del presente Convenio y no puedan ser resueltas por la Comisión de Seguimiento prevista en la cláusula quinta, se someterán a la jurisdicción contencioso-administrativa, conforme a lo dispuesto en la Ley 29/1998, de 13 de julio, Reguladora de la Jurisdicción Contencioso-Administrativa.

Por la Consejería de Salud de la Comunidad Autónoma de La Rioja, la Consejera, Sara Alba Corral.–Por el Ministerio de Sanidad, la Ministra, Carolina Darias San Sebastián.

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid