Agencia Estatal Boletín Oficial del Estado
Habiéndose suscrito el 10 de enero de 2022 el Convenio entre el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias y el Servicio Gallego de Salud dependiente del Departamento de Sanidad de la Xunta de Galicia en materia de asistencia sanitaria a personas privadas de libertad en centros penitenciarios, procede la publicación en el «Boletín Oficial del Estado» de dicho Convenio que figura como anexo a esta Resolución.
Madrid, 20 de enero de 2022.–El Secretario General Técnico, Juan Antonio Puigserver Martínez.
10 de enero de 2022.
REUNIDOS
De una parte, don Ángel Luis Ortiz González, Secretario General de Instituciones Penitenciarias por Real Decreto de nombramiento 504/2018, de 18 de junio, a tenor de lo dispuesto en el Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior y con competencia para firmar convenios según el apartado noveno de la Orden INT/985/2005, de 7 de abril, por la que se delegan determinadas atribuciones y se aprueban las delegaciones efectuadas por otras autoridades.
Y de otra, don Julio García Comesaña, Conselleiro de Sanidad y presidente del Servicio Gallego de Salud, por virtud de nombramiento operado mediante Decreto 112/2020, de 6 de septiembre, de acuerdo con lo establecido en el artículo 34 de la Ley 1/1983, del 22 de febrero, de normas reguladoras de la Xunta y de su presidencia, modificada por la Ley 11/1998, de 20 de octubre, de conformidad con los Decretos 136/2019 y 137/2019, de 10 de octubre, por los que se establecen las estructuras orgánicas de la Consellería de Sanidad y del Servicio Gallego de Salud, respectivamente, así como con lo previsto en la Ley 1/2016, de 18 de enero, de transparencia y buen gobierno y en la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir, y, a tal efecto,
EXPONEN
La Constitución Española de 1978 reconoce, en su artículo 43, el derecho de todos los españoles a la protección de la salud y atribuye a los poderes públicos las competencias para organizar y tutelar la salud pública a través de medidas preventivas y de las prestaciones y servicios necesarios; así mismo, y a través de las previsiones contenidas en el Título VIII, organiza las atribuciones y competencias del Estado sobre la base de la institucionalización de las Comunidades Autónomas.
El artículo 25.2 de la Constitución Española establece que las penas privativas de libertad y las medidas de seguridad estarán orientadas hacia la reeducación y reinserción social, siendo éste el fin primordial de las Instituciones Penitenciarias de acuerdo con el artículo 1 de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria (LOGP).
Conforme a la distribución constitucional de competencias en materia penitenciaria, el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias, tiene asignada la administración y régimen de las instituciones penitenciarias a su cargo, siendo una de sus competencias velar por la vida, integridad y salud de los internos (artículo 3.4 de la LOGP).
A este respecto, la Administración Penitenciaria mantiene, en los establecimientos de ella dependientes, la cobertura sanitaria correspondiente al nivel de Atención Primaria de la Salud (artículo 209 del Reglamento Penitenciario, aprobado por el Real Decreto 190/1996, de 9 de febrero).
La asistencia sanitaria especializada a las personas privadas de libertad se presta por el Servicio Gallego de Salud, en adelante SERGAS. Ello incluye la asistencia especializada en hospitales y centros de especialidades con el desplazamiento de internos cuando es necesario a dichos centros o con el desplazamiento de algunos especialistas a los centros penitenciarios, con el fin de evitar el traslado de internos.
El SERGAS, ostenta la cualidad de Responsable de la Actividad de Tratamiento «Gestión de historia clínica y actividad asistencial», la cual contiene datos de carácter personal de categoría especial tal como consta en el Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal, a la cual se accede mediante el siguiente enlace:
https://www.sergas.es/A-nosa-organizacion/proteccion-datos?idioma=es
El SERGAS es un organismo autónomo que se adscribe a la Consellería de Sanidad responsable en materia de Salud de la Xunta de Galicia.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, califica a los datos relativos a la salud como especialmente sensibles y determina un régimen jurídico de especial protección para los mismos, cuestión que a su vez protagoniza también la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica.
Los datos de la historia clínica son datos personales de categoría especial. En consecuencia, su tratamiento habrá de efectuarse con plena observancia de las disposiciones vigentes en esta materia.
Establecido el amparo competencial, serán las leyes sectoriales reguladoras de los diferentes ámbitos de la acción pública las que establezcan los concretos términos en que dichas funciones se desarrollan, atendida la especialidad técnica de sus funciones.
La Agencia Española de Protección de Datos, en su informe 018/2006, relativo a tratamiento de datos en servicios de salud penitenciaria, dice en su literalidad: «debe indicarse que los servicios de salud penitenciaria han de ser considerados como establecimientos sanitarios incorporados al sistema nacional de salud, a los efectos establecido en la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud».
El informe extrae, además, las siguientes conclusiones:
1. No será necesario el consentimiento del interno para que el personal sanitario penitenciario pueda consultar los datos que pudieran existir en el fichero centralizado de historias clínicas de un determinado sistema de salud autonómico. Tampoco será preciso informar al interno acerca de dicha consulta.
2. No será necesario el consentimiento para el tratamiento de los datos por parte del personal sanitario penitenciario ni para su inclusión en el fichero centralizado de historias clínicas, no obstante, deberá evitarse la inclusión de cualquier dato que permita dar a conocer el hecho de que el tratamiento ha sido prestado por un servicio sanitario penitenciario, salvo la necesaria mención el código del/de la facultativo/a que haya prestado la atención.
3. Deberá informarse al interesado del tratamiento y cesión de sus datos en caso de que se refieran al tratamiento o diagnóstico realizados en el centro penitenciario.
4. En cuanto a los supuestos de telemedicina no será preciso el consentimiento del afectado, pero sí la información al mismo, debiendo implantarse las medidas de seguridad de nivel alto previstas en el Real Decreto 1720/2007, de 21 de diciembre, en todo caso para los ficheros automatizados y en cuanto resulte posible su aplicación para los ficheros manuales.
Como consecuencia de todo lo anterior, las partes estiman conveniente la formalización del presente Convenio para la puesta en funcionamiento de Telemedicina entre centros penitenciarios y la red de dependencias hospitalarias del SERGAS.
CLÁUSULAS
El objeto del presente convenio es:
1. La mejora de la asistencia sanitaria que se presta en los centros penitenciarios de la Comunidad Autónoma de Galicia facilitando el acceso telemático a las historias clínicas informatizadas que existen en el SERGAS por parte del personal sanitario de Instituciones Penitenciarias (actualmente titulados en Medicina y Enfermería) que prestan sus servicios en los centros penitenciarios de Galicia, exclusivamente para la consulta de la historia clínica de pacientes atendidos por ellos en su atención sanitaria habitual. El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la Ley. El acceso comporta, adicionalmente, la capacidad del personal sanitario de Instituciones Penitenciarias para realizar registros en la historia clínica de los pacientes en el nivel de Atención Primaria.
2. Facilitar la implementación de la telemedicina.
3. Facilitar entre ambas instituciones la formación de los profesionales sanitarios.
1. El Ministerio del Interior se compromete a establecer los mecanismos que aseguren que la utilización del acceso al sistema informático se restrinja a la estrictamente necesaria para la atención sanitaria de los pacientes compartidos y a mantener el deber de secreto y confidencialidad, así como el riguroso cumplimiento de la legislación de protección de datos personales.
2. La Secretaría General de Instituciones Penitenciarias establecerá un sistema de gestión de usuarios transmitiendo puntualmente y sin dilación al SERGAS las altas o bajas que se puedan presentar entre sus profesionales sanitarios y que ocupen puesto en la asistencia sanitaria de los centros penitenciarios de Galicia.
3. Ambas partes se comprometen a facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior en la Comunidad Autónoma de Galicia y sus centros sanitarios de referencia.
4. El Ministerio del Interior facilitará la realización de periodos de rotación en los centros penitenciarios a los profesionales sanitarios en formación (MIR, FIR, EIR) que estén realizando su formación en el SERGAS y que así lo soliciten de acuerdo con la correspondiente Unidad de Formación.
1. El SERGAS se compromete a autorizar al personal sanitario dependiente de la Secretaría General de Instituciones Penitenciarias, que presta sus servicios en los centros penitenciarios de Galicia, el acceso a la historia clínica electrónica, a través de un adecuado procedimiento de control de accesos, con la finalidad de que éstos puedan prestar la adecuada asistencia sanitaria a pacientes ingresados en establecimientos penitenciarios.
Para ello, será necesario que dicho personal firme un Acuerdo de Confidencialidad donde aparezcan especificadas las obligaciones y normativa aplicable (Anexo II). Se advertirá, asimismo, que en ningún caso podrá accederse a la Historia Clínica de pacientes a los que no se esté autorizado.
Dicho Acuerdo de Confidencialidad deberá ser previamente autorizado en cada caso, por personal de la Dirección de Asistencia Sanitaria del Departamento de Sanidad, y autorizado finalmente por el Responsable del Tratamiento, el Secretario Xeral Técnico de la Consellería de Sanidad.
2. Ambas partes se comprometen a facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior en la Comunidad Autónoma de Galicia y sus centros sanitarios de referencia.
3. El SERGAS ofertará a los funcionarios sanitarios de Instituciones Penitenciarias la posibilidad de acudir a los cursos de formación continuada que el SERGAS oferte a sus profesionales, en función de la disponibilidad de plazas.
1. Las partes se comprometen a mantener la confidencialidad de todos los datos e informaciones facilitado por la otra parte y que sean concernientes a la ejecución del objeto del presente Convenio (Anexo 1), debiendo las partes mantener dicha información en reserva y secreto y no revelarla de ninguna forma, total o parcialmente, a ninguna persona física o jurídica que no sea parte del mismo, salvo los casos y mediante la forma legalmente previstos.
Con el fin de garantizar los extremos del párrafo anterior, el acceso a la Historia Clínica Electrónica (IANUS) se realizará únicamente por parte de personal médico y de enfermería (funcionarios de carrera) que prestan sus servicios en los centros penitenciarios de Galicia.
Los sistemas de información de la Historia Clínica identificarán de forma inequívoca y personalizada a todo profesional que intente acceder a la información contenida en la Historia Clínica de una persona como paciente o persona usuaria y verificarán su autorización. Se deberá dejar constancia de todo acceso en términos que permitan tener conocimiento de la persona que accede, la fecha y la finalidad, debiéndose guardar de cada intento de acceso, como mínimo, la identificación del profesional, el paciente al que se accede, fecha, hora y la documentación de la historia clínica a la que se ha accedido, además del tipo de acceso.
2. La Secretaría General de Instituciones Penitenciarias actúa como encargado del tratamiento y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento -con especial mención a la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica. En concreto, con lo dispuesto en el artículo 16 de la mencionada Ley. Si destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del presente Convenio y/o la normativa vigente, será considerado también como responsable del tratamiento, respondiendo de las infracciones en que hubiera podido incurrir.
3. La Consellería de Sanidade, así como el SERGAS, para el cumplimiento de la normativa sobre protección de datos, y para la «tutela de la garantía de los derechos de los ciudadanos en materia de autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica» realizará las auditorías que considere necesarias para la verificación de la correcta utilización de las historias clínicas informatizadas, comprobando el acceso a las mismas únicamente del personal autorizado para ello y su uso exclusivo en el marco de sus competencias profesionales.
4. Asimismo, los profesionales sanitarios de Instituciones Penitenciarias en Galicia, dispondrán de un protocolo de acceso a sus sistemas informáticos que garantice el cumplimiento de las normativas de protección de datos.
Las instituciones firmantes desarrollarán y asumirán en su ámbito todas las tareas que sean necesarias para la consecución de los objetivos indicados en las clausulas 1 y 2. Se emplearán infraestructuras seguras que determine el SERGAS para la conexión entre los centros penitenciaros y los centros hospitalarios del SERGAS.
El presente Convenio no generará ningún tipo de vínculo contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
1. Para el adecuado seguimiento, coordinación, control e interpretación de lo establecido en el presente convenio, se crea una comisión de seguimiento paritaria integrada por dos miembros designados por cada una de las instituciones firmantes y un/a representante de la Delegación del Gobierno en la Xunta de Galicia, que forma parte de la representación del Ministerio de Justicia en la citada comisión. La comisión se reunirá cuando lo determinen las partes.
2. La comisión se regirá, en cuanto a su funcionamiento, periodicidad de las reuniones y vinculación de sus acuerdos, por lo dispuesto en el Capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que regula el funcionamiento de los órganos colegiados.
3. Considerando la evolución profesional en este ámbito, la comisión de seguimiento valorará y, en su caso, acordará ampliar el acceso a la Historia Clínica a otras categorías profesionales contempladas en la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias, con niveles de acceso iguales a sus equivalentes en el SERGAS, teniendo en cuenta en todo caso que dicho acceso sólo podrá facilitarse a personal sanitario licenciado, diplomado, grado o equivalente.
4. Igualmente, las partes acordarán en el seno de esta comisión aquellos detalles relativos a la ejecución del contenido del convenio, incluidos los referidos al tratamiento de los datos personales, siempre que no afecte al contenido mínimo y esencial del convenio.
El presente convenio no conlleva gastos ni para la Secretaria General de instituciones Penitenciarias, ni para el SERGAS del Gobierno de la Xunta de Galicia.
1. De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, el convenio se entenderá perfeccionado por la prestación del consentimiento de las partes y resultará eficaz una vez sea inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal. Asimismo, será publicado en el plazo de 10 días hábiles desde su formalización en el «Boletín Oficial del Estado».
La vigencia de este convenio será de cuatro años. Antes de la finalización de la vigencia del convenio, la Secretaría General de Instituciones Penitenciarias y el SERGAS podrán acordar, expresamente y por escrito, su prórroga por hasta otros cuatro años adicionales.
2. Por otra parte, cualquiera de las partes firmantes podrá proceder a su denuncia expresa con un plazo mínimo de dos meses a su fecha de expiración o a la fecha en que se pretenda la extinción anticipada de su vigencia.
3. Las partes firmantes podrán modificar los términos del presente Convenio en cualquier momento, de mutuo acuerdo, mediante la firma de una adenda al mismo, que se encontrará sujeta a los mismos requisitos que se exigen en la tramitación del presente Convenio.
1. El presente convenio se extingue por incurrir en cualquiera de las causas de resolución del artículo 51 de la Ley 40/2015, de 1 de octubre.
2. Desde la fecha del acuerdo de resolución del convenio o de la notificación de la voluntad de extinción, en los términos de la presente cláusula, la colaboración se mantendrá, en todo caso, y continuarán hasta su finalización las actividades de prácticas iniciadas con anterioridad a la fecha de referencia, estableciendo un plazo de 6 meses para la finalización de dichas actividades.
El presente convenio, de naturaleza jurídico-administrativa, se celebra al amparo de la Ley 40/2015, de 1 de octubre.
Las controversias que puedan surgir sobre la interpretación, modificación, ejecución, resolución y efectos que puedan derivarse del presente Convenio se resolverán entre las partes de la manera amistosa en el seno de la comisión de seguimiento prevista en la cláusula sexta.
Al tener naturaleza administrativa, el orden jurisdiccional Contencioso-Administrativo será el competente para resolver las cuestiones litigiosas que pudieran suscitarse entre las partes, todo ello de conformidad con lo dispuesto en los artículos 1 y 2 de la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.
Este convenio se publicará en el «Boletín Oficial del Estado», de acuerdo con lo previsto en la Ley 40/2015, de 1 de octubre. Asimismo, se publicará en el Portal de la Transparencia del Gobierno de España, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (BOE de 10 de diciembre).
De conformidad con cuanto antecedente, y en ejercicio de las atribuciones de que son titulares los firmantes, suscriben por duplicado el presente convenio en lugar y fecha arriba indicados.–El Secretario General de II PP, Ángel Luis Ortiz González.–El Consejero de Sanidad, Julio García Comesaña.
Normativa
Los tratamientos de datos de carácter personal deberán respetar en su integridad el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y la normativa complementaria.
Dado que el acuerdo implica el acceso de la Secretaría General de Instituciones Penitenciarias a datos de carácter personal de cuyo tratamiento es responsable la Consellería de Sanidade la Secretaría General de Instituciones Penitenciarias tendrá la consideración de encargado del tratamiento. El acceso a los datos contenidos en IANUS por parte de los siguientes profesionales sanitarios, médicos y enfermeras, no se considerará comunicación de datos, según lo previsto en el artículo 28 del RGPD. Tendrá dicha consideración de comunicación el tratamiento ulterior de los datos accedidos a través de IANUS dentro de los sistemas de gestión objeto de este acuerdo de los que es responsable de tratamiento la Secretaría General de Instituciones Penitenciarias.
Tratamiento de datos personales
Para el cumplimiento del objeto de este acuerdo, la Secretaría General de Instituciones Penitenciarias deberá tratar los datos personales de los cuales la Secretaría Xeral Técnica de la Consellería de Sanidade, en nombre del Sistema Sanitario Público de Galicia (en adelante Consellería de Sanidade) es Responsable del Tratamiento.
Ello conlleva que la Secretaría General de Instituciones Penitenciarias (en adelante los Encargados de Tratamiento) actúe en calidad de Encargado del Tratamiento en cada uno de sus ámbitos de competencia y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, tratando y protegiendo debidamente los Datos Personales.
Si cualquiera de los Encargados de Tratamiento destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del protocolo y/o la normativa vigente, será considerado también como Responsable del Tratamiento, respondiendo de las posibles infracciones en que hubiera incurrido.
En caso de que como consecuencia de la ejecución del acuerdo resultara necesario en algún momento la modificación del mismo, cualquiera de los Encargados de Tratamiento lo requerirá razonadamente y señalará los cambios que solicita. En caso de que la Consellería de Sanidade estuviese de acuerdo con lo solicitado se generaría una nueva versión de este anexo que recoja el tratamiento de datos actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento, sin obligación de actualizar el resto del acuerdo si no estuviese afectado por el cambio solicitado.
Obligaciones del encargado del tratamiento (estipulaciones como encargado de tratamiento)
De conformidad con lo previsto en el artículo 28 del RGPD, los Encargados de Tratamiento y todo su personal se obligan y garantizan el cumplimiento de las siguientes estipulaciones:
– Tratar los Datos Personales conforme a las instrucciones documentadas en el presente acuerdo o demás documentos aplicables a su ejecución y aquellas que, en su caso, reciban de la Consellería de Sanidade por escrito en cada momento.
Los Encargados de Tratamiento informarán inmediatamente a la Consellería de Sanidade cuando, en su opinión, una instrucción sea contraria a la normativa de protección de Datos Personales aplicable en cada momento.
– Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este acuerdo. No utilizará ni aplicará los Datos Personales con una finalidad distinta a la ejecución del objeto del acuerdo, y en ningún caso podrá utilizar los datos para fines propios ajenos al mismo.
– Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detalladas en el sumario de tratamiento recogido en forma de tabla al final de este Anexo II (a partir de ahora, Sumario de Tratamiento).
– Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del acuerdo así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de los Encargados de Tratamiento, siendo deber de los Encargados de Tratamiento instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación.
– Llevar un listado de personas autorizadas para tratar los Datos Personales objeto de este acuerdo y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición de la Consellería de Sanidade dicha documentación acreditativa.
Para la gestión de permisos de accesos a sistemas de información bajo el control de la Consellería de Sanidade se seguirán las instrucciones que ella dicte.
– Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación, fuera de lo contemplado en este protocolo.
Tanto por la naturaleza del tratamiento encargado como por su condición de organismos públicos, los Encargados de Tratamiento deben nombrar Delegado de Protección de Datos, y comunicarlo a la AEPD, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por los Encargados de Tratamiento como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
Una vez finalizada la prestación objeto del presente protocolo, se compromete, según corresponda y se instruya en el Sumario de Tratamiento, a devolver o destruir:
(i) Los Datos Personales a los que haya tenido acceso.
(ii) Los Datos Personales generados por los Encargados de Tratamiento por causa del tratamiento, y
(iii) Los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; al no existir permiso o requerimiento por ley o por norma de derecho comunitario para su conservación, por lo que se procederá a la destrucción. No obstante, y aportando justificación de dicha solicitud, el Encargado del Tratamiento podrá solicitar a la Consellería de Sanidade conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En caso de ser aprobada esta solicitud, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
Quedarán exentos de este compromiso aquellos datos incorporados a los expedientes de evaluación de discapacidad o dependencia, que no puedan ser considerados como excesivos para la finalidad con que han sido comunicados.
Según corresponda y se indique en el Sumario de Tratamiento, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, tanto manuales como automatizados, y en las ubicaciones que en el citado Sumario se especifican, equipamiento que podrá estar bajo el control de la Consellería de Sanidade o bajo el control directo o indirecto de los Encargados de Tratamiento, u otros que hayan sido expresamente autorizados por escrito por la Consellería de Sanidade, según se establezca en dicho Sumario en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este Protocolo.
Solo se contempla la posibilidad de tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio.
De conformidad con el artículo 33 del RGPD, comunicar a la Consellería de Sanidade, de forma inmediata, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
Se mantendrá en todo momento informada a la Consellería de Sanidade de las comunicaciones realizadas en este sentido.
Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los «Derechos»), ante cualquiera de los Encargados de Tratamiento, éste debe comunicarlo a la Consellería de Sanidade con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá a la Consellería de Sanidade, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
La responsabilidad última para resolver los ejercicios de derechos recibidos corresponde a la Consellería de Sanidade.
Colaborar con la Consellería de Sanidade en el cumplimiento de sus obligaciones en materia de:
(i) Medidas de seguridad.
(ii) Comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y
(iii) Colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición de la Consellería de Sanidade, a requerimiento de ésta, toda la información necesaria para demostrar el cumplimiento de los compromisos recogidos en el presente acuerdo y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por la AEPD.
En los casos en que la normativa así lo exija (ver artículo 30.5 RGPD), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del RGPD un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de la Consellería de Sanidade (Responsable del tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.
Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición de la Consellería de Sanidade a requerimiento de esta. Asimismo, durante la vigencia del acuerdo, pondrá a disposición de la Consellería de Sanidade toda información, certificaciones y auditorías realizadas en cada momento.
La Consellería de Sanidade auditará los accesos realizados en IANUS a datos de pacientes en el marco de este acuerdo, debiendo proporcionarle los Encargados de Tratamiento toda la información que la Consellería de Sanidade considere necesaria para verificar la legitimidad de dichos accesos. En el caso de detectar posibles irregularidades, instará a los Encargados de Tratamiento a que instruyan los expedientes disciplinarios y/o sancionadores correspondientes, teniendo derecho a que se le informe en detalle del contenido de dichos expedientes, para poder emprender otro tipo de acciones legales en caso de disconformidad.
Derecho de información: Los Encargados de Tratamiento, en el momento de la recogida de los datos, deben facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
El presente Anexo y las obligaciones en él establecidos, así como el Sumario de Tratamiento constituyen el contrato de encargo de tratamiento entre la Consellería de Sanidade y los Encargados de Tratamiento a que hace referencia el artículo 28.3 RGPD. Las obligaciones y prestaciones que aquí se contienen no son retribuibles de forma distinta de lo previsto en el presente acuerdo y tendrán la misma duración que éste, prorrogándose en su caso por períodos iguales a éste. No obstante, a la finalización del acuerdo, el deber de secreto continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del mismo.
Para el cumplimiento del objeto de este acuerdo no se requiere que los Encargados de Tratamiento accedan a ningún otro Dato Personal responsabilidad de la Consellería de Sanidade, y por tanto no están autorizados en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en el Sumario de Tratamiento. Si se produjera una incidencia durante la ejecución del acuerdo que conllevara un acceso accidental o incidental a Datos Personales responsabilidad de la Consellería de Sanidade no contemplados en el Sumario de Tratamiento los Encargados de Tratamiento deberán ponerlo en conocimiento de la Consellería de Sanidade, en concreto de su Delegado de Protección de Datos, con la mayor diligencia y a más tardar en el plazo de 72 horas.
Información
Los datos de carácter personal vinculados a las actividades de tramitación, control y auditoría de este acuerdo serán tratados por la Consellería de Sanidade para ser incorporados al sistema de tratamiento «Identificación usuarios e profesionais do sistema público sanitario» y «Xestión da Historia Clínica e Actividade Asistencial» cuyas finalidades son, en el primer caso, conocer la identidad de los/as profesionales relacionados/as con el catálogo de prestaciones sanitarias, así como su actividad y situación administrativa, así como, llevar la gestión y control de accesos a los sistemas de información de la Consellería de Sanidade y del Servizo Galego de Saúde; con el segundo tratamiento se gestionan los datos de la historia clínica del enfermo para el seguimiento de este, gestión de la actividad asistencial, gestión financiera, facturación, prestación farmacéutica, actividad docente, producción de estadísticas y investigación sanitaria y acciones en favor de toxicómanos.
Finalidad necesaria para el cumplimiento de una obligación legal de la Consellería de Sanidade
Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos, además de los periodos establecidos en la normativa de archivos y patrimonio documental tanto autonómica como estatal.
Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante la Secretaría Xeral Técnica de la Consellería de Sanidade, Edificio Administrativo San Lázaro, C/San Lázaro, s/n, 15703 – Santiago de Compostela.
Sumario de tratamiento de datos personales
Descripción general del tratamiento de datos personales a efectuar
El tratamiento consistirá en:
Facilitar la asistencia sanitaria que se presta en los centros penitenciarios de la Comunidad Autónoma de Galicia facilitando el acceso telemático a las historias clínicas informatizadas que existen en el SERGAS por parte del personal sanitario de Instituciones Penitenciarias (actualmente titulados en Medicina y Enfermería) que prestan sus servicios en los centros penitenciarios de Galicia, exclusivamente para la consulta de la historia clínica de pacientes atendidos por ellos en su atención sanitaria habitual. El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la Ley. El acceso comporta, adicionalmente, la capacidad del personal sanitario de Instituciones Penitenciarias para realizar registros en la historia clínica de los pacientes en el nivel de Atención Primaria.
Colectivos y Datos Tratados
Los colectivos de interesados y Datos Personales tratados a los que pueden tener acceso los Encargados de Tratamiento son:
| Tratamientos/Ficheros y principales colectivos de interesados | Datos personales del tratamiento/fichero a los que se puede acceder |
|---|---|
| «Gestión de la Historia Clínica y Actividad Asistencial». | Los datos personales a tratar son los indicados en el Registro de Actividades de Tratamiento. |
| «Identificación usuarios y Profesionales del Sistema Público Sanitario». | Los datos personales a tratar son los indicados en el Registro de Actividades de Tratamiento. |
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderá:
|
□ Recogida (captura de datos). |
□ Registro (grabación). |
□ Estructuración. |
■ Modificación. |
|
□ Conservación (almacenamiento). |
□ Extracción (retrieval). |
■ Consulta. |
■ Cesión. |
|
□ Difusión. |
□ Interconexión (cruce). |
□ Cotejo. |
□ Limitación. |
|
□ Supresión. |
□ Destrucción (de copias temporales). |
□ Conservación (en sus sistemas de información). |
□ Otros: ________. |
|
□ Duplicado. |
□ Copia (copias temporales). |
□ Copia de seguridad. |
□ Recuperación. |
Una vez finalice el acuerdo, el encargado del tratamiento debe:
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.
Además, el Responsable del Tratamiento podrá requerir al encargado para que en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento.
En cualquiera de los 3 casos, y aportando justificación de dicha solicitud, el Encargado del Tratamiento podrá solicitar a la Consellería de Sanidade conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento o de la ejecución de la prestación. En caso de ser aprobada esta solicitud, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
Medidas de seguridad
– Para garantizar la privacidad en las comunicaciones, el acceso al sistema IANUS se realizará exclusivamente a través de la red corporativa de la Xunta o de la red corporativa del Servicio Gallego de Salud.
– La Consellería de Sanidad decidirá el método y protocolos de seguridad a aplicar en el acceso al sistema IANUS.
– El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la Ley tendrán un acceso limitado, que sólo incluirá a las personas incluidas en las citadas listas de trabajo.
– En todas las previsiones de las actividades que forman parte del ejercicio de sus funciones, es necesario aplicar las medidas de seguridad recogidas en el anexo II (medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónico según la categoría de los datos tratados.
– Es necesario obligar al secreto profesional (o recordarla, si ya existe esta obligación) con relación a los datos de carácter personal a TODAS las personas que intervengan por cuenta de la Secretaría General de Instituciones Penitenciarias en cualquier fase del tratamiento de los datos. Esta obligación subsiste incuso después de que se extinguiese su relación de colaboración con la Secretaría General de Instituciones Penitenciarias.
– La Secretaría General de Instituciones Penitenciarias se obliga al cumplimiento de los procedimientos de identificación, autenticación y control de acceso de usuarios establecidos en los sistemas de información de la Consellería de Sanidad, debiendo comunicar las altas y bajas de usuarios que se produzcan en relación con los empleados de su organización, conforme a las instrucciones facilitadas en cada momento por la Consellería de Sanidad.
– Todas las solicitudes de alta de usuario deberán ser autorizadas y firmadas por la Secretaría General de Instituciones Penitenciarias.
– Solo se concederá usuario de acceso a las/los médicas/os y enfermeras/os que tengan encomendadas funciones relacionadas con el objeto de este acuerdo. Antes de la concesión del usuario de acceso, el personal deberá firmar un acuerdo de confidencialidad.
– Como mecanismo de firma electrónica se utilizarán los certificados de empleado público proporcionados por la Xunta de Galicia, que deben ser generados y estar instalados de modo obligatorio en las tarjetas profesionales, no pudiendo existir copias de ellos fuera de esas tarjetas.
– La Secretaría General de Instituciones Penitenciarias debe comunicar y hacer cumplir a sus empleados que tengan acceso a los datos de carácter personal las obligaciones establecidas en los apartados anteriores, especialmente las relativas al deber de secreto y a las medidas de seguridad.
– La Consellería de Sanidad realizará de forma periódica auditorías de control del acceso a los datos que realizan los usuarios de la Secretaría General de Instituciones Penitenciarias. En caso de detectar usos anómalos o sospechosos procederá a anular el usuario, sin descartar otras acciones administrativas, penales o de otra índole que puedan ser de aplicación.
– La Secretaría General de Instituciones Penitenciarias no puede hacer copias, descargas, impresiones o cualquier otra operación de conservación de datos con finalidades diferentes de las establecidas en este acuerdo con relación a los datos de carácter personal a los que tenga acceso.
– Respecto a los aspectos relacionados con las competencias de la Subdirección General de Sistemas y Tecnologías de la Información de la Secretaría General Técnica de la Consellería de Sanidad, la Secretaría General de Instituciones Penitenciarias debe informarla inmediatamente sobre cualquier incidencia en los sistemas de tratamiento y gestión de la información que tuviese o pudiese tener como consecuencia la alteración, la pérdida y el acceso a datos de carácter personal y a la revelación a terceras personas de información confidencial obtenida mientras la Secretaría General de Instituciones Penitenciarias cumplían sus funciones.
– Tanto para la ejecución de auditorías realizadas por la Consellería de Sanidad, como en el caso de que la Agencia Española de Protección de Datos haga inspecciones o requerimientos a la Consellería de Sanidad, o a la Secretaría General de Instituciones Penitenciarias, todas las partes se comprometen a proporcionar la información requerida para facilitar en todo momento las actuaciones previstas legalmente y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones.
– En el caso de que la Secretaría General de Instituciones Penitenciarias destine los datos a otra finalidad, los comunique o utilice incumpliendo las obligaciones especificadas o cualquier otra exigible por la normativa, será considerada responsable del tratamiento, y deberá responder de las infracciones cometidas. Además, quedará sujetas –en su caso– al régimen sancionador establecido tanto en el RGPD como en la LOPDGDD. Además, la Secretaría General de Instituciones Penitenciarias está sujeta a las mismas condiciones y obligaciones descritas previamente en este acuerdo respecto al acceso y al tratamiento de cualquier documento, dato, norma y procedimiento que pertenezcan a la Consellería de Sanidade y a los que pudieran tener acceso.
Los Encargados de Tratamiento no podrán no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa de la Consellería de Sanidade.
A estos efectos, el personal de los Encargados de Tratamiento debe seguir las medidas de seguridad establecidas por la Consellería de Sanidade, no pudiendo efectuar tratamientos distintos de los definidos por la Consellería de Sanidade.
Dado que durante la vigencia del acuerdo se gestionarán por los Encargados de Tratamiento soportes que pueden contener datos de carácter personal especialmente sensibles, será responsabilidad de los Encargados de Tratamiento asegurar que todo soporte de datos que salga de sus instalaciones sea inutilizado o que los datos sean eliminados de tal forma que resulte imposible tener acceso a los mismos.
D./D.ª ........................................, mayor de edad, con DNI .................... funcionario del Ministerio del Interior con categoría profesional de ......................... y dentro del Convenio entre la Secretaría de General de Instituciones Penitenciarias, del Ministerio del Interior, y el Servicio de Salud de la Xunta de Galicia en materia de asistencia sanitaria a personas privadas de libertad en centros penitenciarios, para dar cumplimiento a la normativa de Protección de Datos de Carácter Personal, declara que realiza actividades que requieren la conexión con los SISTEMAS DE INFORMACIÓN Y HCE, obteniendo por ello la condición de tercero encargado de tratamiento de los datos personales cuya responsabilidad es del Servicio Gallego de Salud (en adelante, SERGAS), exigiéndosele por ello las siguientes se compromete y obliga a:
Primero. Atender las instrucciones relativas a la seguridad de la información contenida en las normas de seguridad de las Administraciones, y en particular los requisitos de seguridad establecidos en la Política de Seguridad del SERGAS.
Segundo. Guardar secreto sobre las informaciones confidenciales y los datos de carácter personal de los que tenga conocimiento en el ejercicio de las funciones que le son encomendadas, no comunicando a ningún tercero, ni siquiera para su conservación, los datos facilitados por el SERGAS como responsable del fichero. Esta obligación subsistirá aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Tercero. Notificar de manera inmediata al responsable de su entidad, cualquier incidente de seguridad sobre los tratamientos realizados o si, en su opinión, una instrucción infringe el Reglamento Europeo u otras disposiciones en materia de protección de datos de la Unión o nacional.
Cuarto. Realizar únicamente las tareas que se le encomienden dentro del mencionado convenio y en la forma indicada y, en particular, no debe utilizar la información tratada para otra finalidad.
Quinto. El firmante se compromete a, una vez cumplida la prestación asociada al acuerdo, devolver al SERGAS los datos objeto de tratamiento, soportes o documentos en que estos consten, así como a destruir aquellos según las instrucciones del responsable de tratamiento.
Sexto. El firmante se compromete a, una vez cumplida la prestación asociada al acuerdo, informar al SERGAS para que éste proceda a eliminar cualquier posibilidad de acceso a los datos por parte del mismo y comunicar la baja en el puesto de trabajo.
Queda informado de que cualquier incumplimiento de estos compromisos, y de la legislación vigente, podrá dar origen a las oportunas acciones para exigir reparación de las posibles responsabilidades en que pudiera incurrir.
En ........................................, a ...... de ......................... de 20.....
Fdo:
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
