Agencia Estatal Boletín Oficial del Estado
Con fecha 14 de enero de 2022 se ha suscrito el Convenio entre la Tesorería General de la Seguridad Social y la Administración General de la Comunidad Autónoma del País Vasco, mediante el Departamento de Trabajo y Empleo, sobre cesión de información y, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado convenio, que figura como anexo de esta resolución.
Madrid, 17 de enero de 2022.–La Secretaria General Técnica, Iría Álvarez Besteiro.
REUNIDOS
De una parte, don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero (BOE de 22 de enero), actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.
Y de otra parte, doña Idoia Mendia Cueva, Vicelehendakari Segunda y Consejera del Departamento de Trabajo y Empleo del Gobierno Vasco, en uso de las atribuciones que le confiere el Decreto de 21/2020, de 7 de septiembre (BOPV número 177, de 8 de septiembre), por el que aprueba su nombramiento, en representación de la Administración General de la CAPV, en virtud de las competencias que le atribuye la Ley 7/1981, de 30 de junio, de Gobierno.
EXPONEN
1. La Tesorería General de la Seguridad Social (en adelante TGSS) es un Servicio Común adscrito a la Secretaría de Estado de la Seguridad Social y Pensiones del Ministerio de Inclusión, Seguridad Social y Migraciones, dotado de personalidad jurídica propia, al que le compete la gestión de los recursos económicos y la administración financiera del sistema, en aplicación de los principios de solidaridad financiera y de caja única.
2. El Real Decreto 1314/1984, de 20 de junio, por el que se regulan la estructura y competencias de la TGSS, le atribuye, en su artículo 1.1.a), las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores; y en el artículo 1.1.b) la gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social, materias reguladas posteriormente por el Reglamento general sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero, por el Reglamento general sobre cotización y liquidación de otros derechos de la Seguridad Social, aprobado por Real Decreto 2064/1995, de 22 de diciembre, y por el Reglamento general de recaudación de la Seguridad Social aprobado por el Real Decreto 1415/2004, de 11 de julio.
3. Conforme el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales «El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679».
Además, el artículo 155 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula expresamente la transmisión de datos entre administraciones públicas en desarrollo del artículo 3.1.k) de la propia Ley 40/2015.
4. El artículo 141.1.d) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece el deber de colaboración entre las Administraciones Públicas, prestando, en el ámbito propio, la asistencia que las otras Administraciones pudieran solicitar para el eficaz ejercicio de sus competencias. Las obligaciones que se derivan del deber de colaboración se harán efectivas a través de alguna de las técnicas previstas en el artículo 142 de la Ley 40/2015, de 1 de octubre.
5. El artículo 16.3 de la Ley 23/2015, de 21 de julio, Ordenadora del Sistema de Inspección de Trabajo y Seguridad Social, dispone que las entidades gestoras y colaboradoras y los servicios comunes de la Seguridad Social prestarán su colaboración a la Inspección de Trabajo y Seguridad Social, facilitándole, cuando le sean solicitadas, las informaciones, antecedentes y datos con relevancia en el ejercicio de la función inspectora, incluso los de carácter personal objeto de tratamiento automatizado, sin necesidad de consentimiento del afectado.
6. El artículo 77.1.d) del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, dispone que «Los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas Entidades Gestoras, Servicios comunes y órganos que integran la Administración de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto la colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, para la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social y, en general, para el ejercicio de las funciones encomendadas legal o reglamentariamente a las mismas para las que los datos obtenidos por la Administración de la Seguridad Social resulten relevantes».
7. Las entidades gestoras y colaboradoras y los servicios comunes de la Seguridad Social prestarán su colaboración a la Inspección de Trabajo y Seguridad Social en orden a la vigilancia que esta tiene atribuida respecto al cumplimiento de las obligaciones de empresarios y trabajadores establecidas en la presente ley, según dispone el artículo 134 del Real Decreto Legislativo 8/2015, de 30 de octubre.
8. Por Real Decreto 895/2011, de 24 de junio, se traspasa a la Comunidad Autónoma del País Vasco, en su ámbito territorial, el ejercicio de la función pública inspectora y los servicios de inspección de Trabajo, constituidos por órganos, funcionarios y medios materiales que contribuyen al adecuado cumplimiento de las normas del orden social en las materias competencias de la Comunidad Autónoma del País Vasco, en los términos del artículo 12.2 de su Estatuto de Autonomía.
La Administración General del Estado y la Administración General de la Comunidad Autónoma del País Vasco, con objeto de garantizar la necesaria cooperación y coordinación institucional del sistema de la Inspección de Trabajo y Seguridad Social en el ámbito territorial del País Vasco, el ejercicio eficaz de la función inspectora y su actuación en todas las materias del orden social, dentro de la concepción única e integral de dicho sistema, suscribieron un Convenio en materia de organización y funcionamiento de la Inspección de Trabajo y Seguridad en el País Vasco, el 14 de diciembre de 2011, y cuyo objeto era la prestación coordinada del servicio público de inspección para garantizar su eficaz ejercicio en el marco de una oficina unificada con una gestión, servicios administrativos y de atención a la ciudadanía comunes y con recursos compartidos.
Respecto a la organización, cada una de las administraciones dispone de estructura orgánica y directiva propia a nivel autonómico.
9. Para llevar a cabo la gestión encomendada en la Ley 23/2015, de 21 de julio, Ordenadora del Sistema de Inspección de Trabajo y Seguridad Social al personal de la Inspección de Trabajo y Seguridad Social transferido al Departamento de Trabajo y Empleo del Gobierno Vasco le es necesario poder acceder, a modo de consulta, a la información contenida en los ficheros generales de bases de datos de la TGSS, lo que deberá garantizarse a través de los órganos e instrumentos previstos en esta ley y en los acuerdos o convenios suscritos entre las Administraciones competentes, lo que se instrumentará mediante convenios de colaboración según lo establecido en el artículo 25.1 de la Ley 23/2015, de 21 de julio.
10. La disposición adicional octava de la Ley 23/2015, de 21 de julio, establece que en la coordinación de las actuaciones entre los servicios de inspección traspasados a las Comunidades Autónomas y los de la Administración General del Estado los acuerdos bilaterales que se establezcan deben tener especialmente en cuenta la singularidad de la adscripción orgánica de los servicios de inspección a diferentes administraciones Públicas, sobre la base de la concepción única e integral del Sistema, del principio de unidad de función y actuación inspectora de los funcionarios del Sistema y del principio de eficacia en la ejecución de la función inspectora.
11. Con carácter general, el acceso de la ITSS a las bases de datos de la TGSS vino a concretarse en los puntos primero.1.º, quinto y octavo de la Resolución de 28 de julio de 2004, «conjunta del secretario de Estado de la Seguridad Social y de la subsecretaria de Trabajo y Asuntos Sociales, por la que se fija el marco de relaciones para intensificar y hacer más eficaz la colaboración recíproca entre la Dirección General de la Tesorería General de la Seguridad Social y la Dirección General de la Inspección de Trabajo y Seguridad Social». La resolución mencionada, en función de su entrada en vigor, está referida al ámbito de la Administración general del Estado, lo que no debe impedir, por razones de uniformidad y coherencia, que su contenido sea aplicable al presente convenio y a los que en el futuro puedan firmarse con otras administraciones autonómicas.
12. En cuanto a la posibilidad de la TGSS de solicitar y obtener del Gobierno Vasco información de la contenida en las bases de datos de ésta, que pudiera resultar útil para el ejercicio de las funciones de aquella, se encuentra contemplada con carácter general en el artículo 140 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Particularmente, la colaboración de la ITSS con la TGSS, independientemente de la dependencia orgánica y/o funcional de la primera, encuentra su amparo en el artículo 17.1 de la Ley 23/2015, de 21 de julio, Ordenadora del Sistema de Inspección de Trabajo y Seguridad Social.
13. En fecha de 21 de diciembre de 2011 se firmó el Convenio de colaboración entre la Tesorería General de la Seguridad Social y la Administración General de la Comunidad Autónoma del País Vasco (publicado por Resolución 4/2012, de 1 de febrero, de la Directora de la Secretaría del Gobierno y de Relaciones con el Parlamento, mediante el Departamento de Empleo y Asuntos Sociales, sobre cesión de información. Dicho convenio que estuvo vigente hasta el 2 de octubre de 2019, tenía por objeto fijar las condiciones y los términos de la colaboración entre la Tesorería General de la Seguridad Social y el Departamento de Empleo y Asuntos Sociales del Gobierno Vasco, para facilitar el acceso de los funcionarios del sistema de Inspección de Trabajo y Seguridad Social adscritos orgánicamente al Departamento de Empleo y Asuntos Sociales al sistema de información de la Seguridad Social en relación con las transacciones informáticas establecidas en el anexo III del Convenio sobre cesión de información, que eran las que en el momento de la firma del convenio tenían acceso los funcionarios de la Inspección de Trabajo y Seguridad Social de la Administración General del Estado.
14. Posteriormente, los funcionarios de la Inspección de Trabajo y Seguridad Social de la Administración General del Estado han tenido acceso a nuevas transacciones informáticas de la Tesorería General de la Seguridad Social, a las que no han tenido acceso los funcionarios del sistema de Inspección de Trabajo y Seguridad Social adscritos orgánicamente al Departamento de Trabajo y Empleo del Gobierno Vasco ya que no constaban en el anexo III del Convenio mencionado porque las transacciones en cuestión no existían en el momento de su firma.
15. En fecha 19 de julio de 2018 la Tesorería General de la Seguridad Social y el Organismo Autónomo Estatal Inspección de Trabajo y Seguridad Social suscribieron un convenio por el que se fija el marco de relaciones para intensificar y hacer más eficaz la colaboración recíproca. En la cláusula octava de este Convenio entre la Tesorería General de la Seguridad Social y el Organismo Autónomo Estatal Inspección de Trabajo y Seguridad Social, se acuerda que la Tesorería General de la Seguridad Social facilitará el acceso de la Inspección de Trabajo y seguridad Social a sus bases de datos en modo de consulta, proporcionando las oportunas transacciones para los funcionarios del Organismo Estatal Inspección de Trabajo y Seguridad Social. Por lo tanto, proporcionando las oportunas transacciones, sin especificar concretamente estas, lo que permite cumplir con el principio de eficacia del artículo 2.a) de la Ley 23/2015, de 21 de julio, al disponer automáticamente de las transacciones que sean oportunas, sin necesidad de modificar el convenio para añadir otras transacciones cuando sean necesarias.
16. Con la finalidad de garantizar la eficacia en la ejecución de la función inspectora de todos los funcionarios de la Inspección de Trabajo y Seguridad Social, con independencia de la Administración Pública a la que están adscritos, resulta necesario suscribir un Convenio entre la Tesorería General de la Seguridad Social y la Administración General de la Comunidad Autónoma del País Vasco, mediante el Departamento de Trabajo y Empleo, sobre cesión de información.
En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes se reconocen mutuamente la capacidad legal necesaria en la representación en la que actúan para suscribir este convenio de acuerdo con las siguientes:
CLÁUSULAS
El Convenio tiene por objeto fijar las condiciones y términos de la colaboración entre la TGSS y el Departamento de Trabajo y Empleo del Gobierno Vasco, para facilitar el acceso de los funcionarios del sistema de Inspección de Trabajo y Seguridad Social al sistema de información de la Seguridad Social en relación con las transacciones y sistemas de gestión informáticos habilitados por la TGSS (en el Grupo T0ITSS00: Consultas Generales) con el fin de facilitar la actuación inspectora, sin perjuicio de lo establecido en el artículo 140 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
En lo que respecta a la forma y características de la autorización, asignación, funcionamiento y demás condiciones del acceso a los ficheros de la TGSS, las partes implicadas se deberán ajustar a las reglas y principios contemplados en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva facilitar el desarrollo de las funciones atribuidas por el ordenamiento jurídico a los funcionarios del sistema de la Inspección de Trabajo y Seguridad Social adscritos orgánica y funcionalmente al Departamento de Trabajo y Empleo del Gobierno Vasco en los términos establecidos en el artículo 16.3 de la Ley 23/2015, de 21 de julio, y en el artículo 134 del Real Decreto Legislativo 8/2015, de 30 de octubre.
Por el presente convenio la TGSS autoriza al Departamento de Trabajo y Empleo del Gobierno Vasco la utilización de las transacciones que dan acceso a la información contenida en las bases de datos de sus ficheros, en el Grupo T0ITSS00: Consultas Generales.
La TGSS y el Departamento de Trabajo y Empleo del Gobierno Vasco deberán ajustarse a lo estipulado en los siguientes puntos:
1.º La TGSS realizará la autorización inicial de utilización de las transacciones a que se refiere el presente Convenio, del Grupo T0ITSS00: Consultas Generales.
2.º La configuración del acceso objeto del presente convenio habrá de cumplir los siguientes principios, establecidos por el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, sobre control de acceso al sistema informático de la Seguridad Social:
– Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.
– Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, pueden crear, utilizar, modificar o suprimir información.
• Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
• Trazabilidad, de forma que las actuaciones realizadas por los usuarios autorizados del Gobierno Vasco pueden ser imputadas exclusivamente al Gobierno Vasco.
• Autenticidad, garantizando que los usuarios autorizados por el Gobierno Vasco son quienes dice ser, al tiempo que se garantiza la fuente de la que proceden los datos.
3.º La administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario central y tres perfiles de usuario territorial, uno por cada provincia, autorizadores con nivel 4, y éstos, a su vez, darán de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático, pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.
El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.
4.º El usuario administrador/autorizador, y subsidiariamente el Departamento de Trabajo y Empleo del Gobierno Vasco, es responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión, y vigilará la correcta utilización de las autorizaciones concedidas.
5.º Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse al usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello, en el momento de autorizar un usuario, se cumplimentarán todos los campos exigidos, tales como características del puesto de trabajo e información complementaria, núm. de teléfono, correo electrónico, etc.
6.º Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
7.º Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte, se establecerán controles en cuanto al tiempo de inactividad de los usuarios, que pasarán a la situación de cancelados una vez transcurridos tres meses sin acceder a los ficheros de bases de datos. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.
Todos los usuarios identificados, así como sus responsables en el Departamento de Trabajo y Empleo del Gobierno Vasco, deben tener el conocimiento de que la copia de programas y/o el uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en el título IX de la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en el anexo I que se adjunta a este Convenio. Dicho documento quedará en poder del autorizador de nivel 4, estando a disposición de la TGSS cuando lo solicite.
Las partes firmantes vendrán obligadas en materia de protección de datos a cumplir con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el Reglamento de desarrollo de la ley orgánica, y en los documentos de seguridad aprobados por la TGSS.
A través de los sistemas y medios informáticos de auditoría incluidos en el anexo II que facilite la TGSS, el órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquellos figuren incluidos.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Sin perjuicio de lo anterior, la TGSS se reserva la facultad de:
a) Controlar, supervisar y/o auditar los accesos o la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios o complementarios por la Unidad Nacional de Auditorías de la TGSS.
b) Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la TGSS sobre la corrección de los accesos, la custodia o la utilización de la información cedida.
c) Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieran sido utilizados.
El órgano cesionario acepta someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unidad Nacional de Auditorías de la TGSS, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.
La TGSS se reserva la facultad de revisar en cualquier momento posterior a la firma del presente convenio las formas de acceso a los datos protegidos, ya sea a través de acceso directo a ficheros, soporte físico o conexión telemática o electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponer alteración de las condiciones pactadas en este Convenio.
El órgano cesionario acepta y asume por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente Convenio que facultará a la Tesorería para exigir las responsabilidades oportunas.
Si como consecuencia de las actuaciones de control o auditoría o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.
El organismo cesionario será responsable frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La Tesorería podrá repetir contra el organismo cesionario por cualquier indemnización que deba satisfacer derivada de dicho incumplimiento.
Para velar por el cumplimiento del presente convenio se constituirán comisiones de seguimiento en cada provincia.
La comisión provincial estará formada por el Director Provincial de la Tesorería General de la Seguridad Social o persona que designe el Director Provincial y un funcionario de la misma Dirección Provincial, así como por la Subdirectora de la Inspección de Trabajo del Gobierno Vasco y un funcionario de la misma Subdirección. Sus acuerdos requerirán el voto favorable de todos los representantes. Asimismo, podrá incorporarse, con derecho a voz, cualquier otro personal al servicio de la Administración Pública que se considere necesario.
Será competencia de la comisión de control y seguimiento establecer los procedimientos más eficaces que posibiliten el intercambio de información y la colaboración prevista en este Convenio. A tal fin, promoverá la supresión de los impedimentos técnicos que impidan su inmediato intercambio y colaboración.
En concreto, a la comisión de control y seguimiento se le encomiendan las siguientes funciones:
a) Coordinar las actuaciones necesarias para la correcta ejecución del presente convenio, estableciendo, en particular, los procedimientos de cesión de información más eficaces así como las medidas que garanticen la protección de los datos suministrados.
b) Adoptar las medidas de control pertinentes para asegurar la debida custodia y correcta utilización de la información recibida.
c) Resolver las dudas y controversias que puedan surgir en la interpretación y ejecución del presente Convenio.
d) Establecer los criterios adecuados para la regulación de los aspectos no desarrollados en este convenio.
e) Mantener actualizado un documento con el total de las transacciones y sistemas de gestión informáticos incluidos en el Grupo T0ITSS00: Consultas Generales, a que se refiere la cláusula primera.
Las controversias que puedan surgir sobre la interpretación, modificación, ejecución, resolución y efectos que puedan derivarse del presente convenio se resolverán entre las partes de la manera amistosa en el seno de esta comisión.
Estas comisiones se reunirán, rigiéndose por lo dispuesto en la sección 3.ª del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre.
De conformidad con lo establecido en el artículo 49.h) de la Ley 40/2015, el presente Convenio tendrá una vigencia de cuatro años. Según lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, se perfeccionará por el consentimiento de las partes y resultará eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Asimismo, será publicado en el «Boletín Oficial del Estado». En cualquier momento, antes de la finalización del plazo previsto, los firmantes podrán acordar unánimemente su prórroga por un periodo de hasta cuatro años adicionales.
Las partes firmantes podrán modificar los términos del presente convenio en cualquier momento, de mutuo acuerdo, mediante la firma de una adenda al mismo.
Asimismo, cualquiera de las partes firmantes podrá proceder a su denuncia expresa con un plazo mínimo de tres meses a la fecha en que se pretenda su expiración.
Los convenios se extinguen por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución. El presente convenio se entenderá resuelto por alguna de las siguientes causas:
a) El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.
b) El acuerdo unánime de todos los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en el plazo de quince días con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a las demás partes firmantes.
Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte firmante la concurrencia de la causa de resolución y se entenderá resuelto el Convenio. La resolución del convenio por esta causa podrá conllevar las indemnizaciones o sanciones que pudieran dar lugar al uso indebido de datos cedidos por la TGSS.
d) Por decisión judicial declaratoria de la nulidad del convenio.
e) Por cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.
Desde la fecha del acuerdo de resolución del Convenio o de la notificación de la voluntad de extinción, las partes a propuesta de la Comisión de control y seguimiento del convenio, podrán acordar la continuación y finalización de las actuaciones en curso que consideren oportunas, estableciendo un plazo improrrogable para su finalización, de conformidad con el artículo 52.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El presente convenio tiene carácter interadministrativo de conformidad con el artículo 47.2.a) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, siéndole de aplicación la restante normativa de dicho texto legal y en particular lo dispuesto en el capítulo VI, del título preliminar, y en concreto, los artículos 47 a 53.
Al tener naturaleza administrativa, el orden jurisdiccional contencioso-administrativo será el competente para resolver las cuestiones litigiosas que pudieran suscitarse entre las partes, todo ello de conformidad con lo dispuesto en los artículos 1 y 2 de la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.
Las actuaciones previstas en el presente convenio no generarán costes ni darán lugar a contraprestaciones financieras entre las partes firmantes.
En prueba de conformidad, las partes implicadas firman el presente documento por vía electrónica, tomándose como fecha de formalización del presente documento la fecha del último firmante, en Madrid, el 14 de enero de 2022.–El Director General de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–La Consejera de Trabajo y Empleo del Gobierno Vasco, Idoia Mendia Cueva.
El señor/la señora .................................................... con DNI número ........................ y adscrito/a ..........................., por el presente documento comunica:
Que, de conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el artículo 6 de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado, y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el título IX de la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como de responsabilidades de cualquier otra naturaleza, incluso penales.
..........................., a ........ de ................... de 20....
Las partes implicadas en el proceso de auditoría son las siguientes:
1. Auditor delegado en el Departamento de Trabajo y Empleo del Gobierno Vasco. Sus funciones y competencias son:
1. Será el interlocutor con la TGSS en el ámbito de su competencia, y su función principal será efectuar la auditoría mensual a los usuarios autorizados en su organismo.
2. Tendrá como mínimo un nivel 26 de complemento de destino, salvo petición justificada del órgano cesionario que solicitará la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorías.
3. Se le asignará en SILCON un perfil de usuario auditor, y se le dará de alta a esos efectos por la TGSS en el departamento correspondiente. Las altas, bajas o sustituciones que se produzcan en la persona designada como auditor delegado deberán ser comunicadas en la mayor brevedad posible al auditor delegado de la TGSS, quien lo pondrá en conocimiento de la Unidad Nacional de Auditorías.
4. La Unidad Nacional de Auditorías, previa solicitud del organismo externo, podrá autorizar la figura de auditor delegado suplente (que deberá cumplir los mismos requisitos de nivel que el auditor delegado y se le asignará también en SILCON un nivel 4) en los supuestos de vacante, ausencia o enfermedad del auditor delegado.
5. El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan en SILCON un nivel 4. Ello es debido a que la tarea de auditoría no es informática sino de justificación documental de los accesos.
6. En ningún caso podrán coincidir en la misma persona los cargos de administrador SILCON y auditor delegado.
2. Auditor delegado de la TGSS en Álava. En la Dirección Provincial de la TGSS de Álava, el auditor delegado provincial tendrá las siguientes funciones:
1. Realizar las auditorías de los accesos del auditor delegado del organismo externo.
2. Recibir, sistematizar y analizar los datos facilitados en el informe mensual de auditoría elaborado por el auditor delegado del organismo externo.
3. Asignación/desasignación de un departamento al auditor delegado del organismo externo.
4. Información y resolución de dudas e incidencias al auditor delegado del organismo externo.
5. Comunicar el resultado de las auditorías e incidencias a la Unidad Nacional de Auditorías.
3. Unidad Nacional de Auditorías. Serán funciones de la Unidad Nacional de Auditoría las siguientes:
1. Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorías se lleven a efecto por las unidades competentes, con unos criterios unificados.
2. Formular propuestas y recomendaciones en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:
Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
3. Administrar las transacciones SILCON específicamente referidas al sistema de auditorías así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin la Unidad Nacional de Auditorías elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.
4. Realizar auditorías específicas de accesos indebidos al sistema de confidencialidad cuando se produzcan denuncias por parte de los titulares de los datos accedidos, cualquiera que sea su lugar de presentación, y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.
5. Coordinar y preparar la información que requiera la Dirección General de la TGSS para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorías cualquier escrito o solicitud que se reciba de dicha agencia.
El procedimiento concreto de auditoría se pondrá en conocimiento del organismo externo por parte de la Dirección Provincial de la TGSS antes del inicio de la auditoría mensual que proceda, la cual explicará dicho proceso y solicitará los datos personales del auditor delegado.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
