Agencia Estatal Boletín Oficial del Estado
La Directora General del Dato y la Directora de la Agencia Española de Medicamentos y Productos Sanitarios han suscrito, con fecha de 29 de octubre de 2025, un convenio para apoyo técnico e integración de la Base de datos para la Investigación Farmacoepidemiológica en el Ámbito Público y otros conjuntos de datos de salud en el marco del proyecto «Espacio Nacional de Datos de Salud».
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente resolución.
Madrid, 2 de diciembre de 2025.–El Subsecretario de la Presidencia, Justicia y Relaciones con las Cortes, Alberto Herrera Rodríguez.
REUNIDOS
De una parte, doña Ruth del Campo Bécares, Directora General de la Dirección General del Dato (en adelante, DGDATO), cargo para el que es nombrada por Real Decreto 269/2024, de 12 de marzo, en función de su cargo y en ejercicio de sus facultades que le son atribuidas por el artículo 5 del Real Decreto 210/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, modificado por el Real Decreto 1185/2024, de 28 de noviembre, de acuerdo con el artículo 22 Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales, modificado por el Real Decreto 1230/2023 de 29 de diciembre; así como de conformidad con las competencias conferidas por el artículo 66 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público doña Ruth del Campo Becares actúa como firmante de este acuerdo en virtud del apartado dieciocho de la Orden TDF/469/2024, de 9 de mayo, sobre fijación de límites para la administración de determinados créditos para gastos y de delegación de competencias, apareciendo como delegación a la DGDATO la facultad para celebrar acuerdos y convenios, incluidos los de encomienda de gestión, hasta el límite de 1.200.000 euros, impuestos excluidos (capítulo III, decimoctavo, apartado 3).
De otra parte, doña María Jesús Lamas Díaz, Directora de la Agencia Española de Medicamentos y Productos Sanitarios (en adelante, AEMPS), nombrada para este cargo por Acuerdo del Consejo Rector de la Agencia Española de Medicamentos y Productos Sanitarios de fecha 19 de julio de 2018, actuando en ejercicio de las facultades que le vienen conferidas en virtud del artículo 14.2.f) del Estatuto de la Agencia aprobado por Real Decreto 1275/2011, de 16 de septiembre.
Intervienen ambas partes en representación de las instituciones indicadas y con las facultades que sus respectivos cargos les confieren, reconociéndose capacidad y legitimación para otorgar y firmar el presente convenio y, a tal efecto,
EXPONEN
Que el artículo 47 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y la Orden PRA/1267/2017, de 21 de diciembre, que la desarrolla, habilitan la suscripción de convenios entre Administraciones públicas sometidos al régimen jurídico de convenios previsto en el capítulo VI, del título preliminar de la citada Ley 40/2015, de 1 de octubre.
El artículo 62 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que corresponde a los Secretarios de Estado la responsabilidad de la ejecución de la acción del Gobierno en un sector de actividad específica de un Departamento actuando bajo la dirección de su titular, siendo el apartado 2.g) del mencionado artículo 62 el que le atribuye la competencia para suscribir aquellos convenios no reservados al Ministro del que dependan, sin perjuicio de la correspondiente autorización cuando sea preceptiva.
De acuerdo con el artículo 2.1 del Real Decreto 210/2024, de 27 de febrero, modificado por el Real Decreto 1185/2024, de 28 de noviembre, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, le corresponde a la Secretaría de Estado de Digitalización e Inteligencia Artificial (en adelante, SEDIA), la política de impulso a la digitalización de la sociedad y la economía de forma respetuosa con los derechos individuales y colectivos, así como con los valores del ordenamiento jurídico español.
A tal fin, le corresponden las funciones de fomento y regulación de los servicios digitales y de la economía y sociedad digitales, la interlocución con los sectores profesionales, industriales y académicos, el impulso de la digitalización del sector público y la coordinación y cooperación interministerial y con otras Administraciones públicas respecto a dichas materias, sin perjuicio de las competencias atribuidas a otros departamentos ministeriales.
Según se establece en el artículo 2.2 del citado Real Decreto 210/2024, modificado por el Real Decreto 1185/20224, la DGDATO depende orgánicamente de la SEDIA, y, conforme al artículo 5.1 de dicho real decreto, tiene como misión «el fomento del uso de datos por las Administraciones públicas, empresas y ciudadanos, así como la compartición en espacios de datos interoperables, contribuyendo al desarrollo del mercado único digital para Europa, en coordinación con los departamentos ministeriales sectoriales competentes y en colaboración con las comunidades autónomas y entidades locales».
Asimismo, según lo dispuesto respectivamente en las letras h) e i) del citado artículo 5.1 del Real Decreto 210/2024, la DGDATO llevará a cabo, en particular, «el diseño, impulso y seguimiento de programas, actuaciones e instrumentos para el despliegue de capacidades, infraestructuras y plataformas que contribuyan a acelerar el empleo de los datos, desarrollar políticas públicas más eficaces y fomenten su soberanía, en coordinación con el resto de las unidades competentes en el departamento ministerial». Así como «el impulso, coordinación y seguimiento de los planes, programas e iniciativas que fomenten la investigación, el desarrollo y la innovación en tecnologías, servicios y productos para la economía del dato, contribuyendo al desarrollo de una industria nacional competitiva, en colaboración con el resto de las entidades relevantes».
Que el Plan de Recuperación, Transformación y Resiliencia «España puede» (en adelante, PRTR), aprobado por la Comisión Europea el 16 de junio de 2021 y ratificado por el Consejo de la Unión Europea el 13 de julio de 2021, es un proyecto que traza la hoja de ruta para la modernización de la economía española, la recuperación del crecimiento económico y la creación de empleo, para una reconstrucción económica sólida, inclusiva y resiliente tras la crisis de la COVID, y para responder a los retos de la próxima década.
Con fecha 2 de octubre de 2023 se ha aprobado por la Comisión Europea la Adenda al PRTR, que posteriormente ha sido ratificada por el Consejo de Ministros de Economía y Finanzas de la Unión Europea el 17 de octubre de 2023. En ella se modifica el calendario y definición de algunos hitos para asegurar el aprovechamiento de todos los fondos Next Generation EU, así como los costes de algunos otros y se añaden nuevas medidas, permitiendo con esta actualización incorporar los cambios objetivos en las circunstancias económicas y ampliar algunos plazos para ajustarlos a los tiempos reales que requiere el cumplimiento de sus medidas.
Que el Espacio Nacional de Datos de Salud (ENDS) forma parte del Plan de Actuaciones incluido en la Estrategia de Salud Digital del Sistema Nacional de Salud (SNS), así como en el PERTE para una Salud de Vanguardia. Asimismo, está contemplado en el Plan España Digital 2026, dentro de la medida 29: Salud Digital y de Vanguardia. El proyecto del ENDS se está abordando con la inversión 6 del Componente 18 del PRTR, mediante la dotación de un presupuesto de 100 millones de euros a cargo del Mecanismo de Recuperación y Resiliencia (MRR) del Next Generation EU. Su ejecución es responsabilidad del Ministerio para la Transformación Digital y de la Función Pública (MTDFP), a través de la SEDIA y de la DGDATO, como órgano gestor.
En ese marco, el ENDS tiene el objetivo de proporcionar al SNS una Plataforma tecnológica de almacenamiento, tratamiento y análisis con capacidades digitales avanzadas, para los datos procedentes de los sistemas de información del SNS y de otras fuentes, tanto clínicos como de gestión, epidemiológicos o de operaciones estadísticas relacionadas con la salud. Con esta plataforma se busca contribuir al desarrollo de la investigación, la innovación y el uso secundario de los datos de salud, facilitando el uso confiable y ético de tecnologías disruptivas de tratamiento del dato y de inteligencia artificial.
En la materia específica de Datos de Salud, el ENDS de alinea con el Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud, y por el que se modifican la Directiva 2011/24/UE y el Reglamento (UE) 2024/2847 (en adelante, Reglamento del Espacio Europeo de Datos de Salud), cuyos principales objetivos son el empoderamiento de las personas con el control de sus datos de salud; facilitar el intercambio transfronterizo para la prestación de servicios sanitarios; promover la interoperabilidad de los sistemas de historia clínica electrónica; promover la reutilización de datos para investigación, innovación y emprendimiento, así como definir las condiciones para el tratamiento de los datos personales de salud.
Que el artículo 149.1.16.ª de la Constitución atribuye al Estado la competencia exclusiva en materia de bases y coordinación general de la sanidad.
El Ministerio de Sanidad tiene la responsabilidad de la mejora de la calidad en el sistema sanitario en su conjunto, cumpliendo las previsiones recogidas en la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud. Al respecto, el Ministerio de Sanidad desarrolla desde 1984 el Sistema Español de Farmacovigilancia para conocer la incidencia de las reacciones adversas a medicamentos comercializados en España.
Que la AEMPS, como agencia estatal adscrita al Ministerio de Sanidad, fue creada por el Real Decreto 1275/2011, de 16 de septiembre de 2011, que aprueba su Estatuto y establece competencias en materia de evaluación, autorización y registro de medicamentos. Asimismo, le atribuye las competencias de planificar, evaluar y desarrollar el Sistema Español de Farmacovigilancia y de realizar estudios farmacoepidemiológicos destinados a evaluar la seguridad de medicamentos de uso humano; siendo el Real Decreto Legislativo 1/2015, de 24 de julio, por el que se aprueba el texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, el que asigna a la AEMPS la coordinación del Sistema Español de Farmacovigilancia, promoviendo los estudios de farmacoepidemiología necesarios para evaluar la seguridad de los medicamentos autorizados.
Que el Real Decreto 577/2013, de 26 de julio, por el que se regula la farmacovigilancia de medicamentos de uso humano, en su artículo 4, apartado 1, punto j, asigna a la AEMPS la función de «Promover la creación y facilitar el uso de bases de datos sanitarias informatizadas que sirvan como fuente de información para la realización de estudios farmacoepidemiológicos con la participación de las autoridades sanitarias de las comunidades autónomas y los profesionales sanitarios así como estimular la creación y mantenimiento de un registro unificado de las bases de datos disponibles», en línea con lo especificado en el artículo 55 del Real Decreto Legislativo 1/2015, de 24 de julio. A su vez, el citado Real Decreto 577/2013, de 26 de julio, en su artículo 3.2 reconoce la competencia de la AEMPS para establecer los convenios necesarios con los organismos competentes de la Administración General del Estado y de las comunidades autónomas para facilitar el uso compartido de las fuentes de información que de ellas dependa, en particular con las bases de datos automatizadas.
Que la AEMPS en cumplimiento de sus funciones, promueve y financia una «base de datos para la investigación farmacoepidemiológica en el ámbito público» (BIFAP), cuyo objetivo es disponer en una base de datos las historias clínicas electrónicas de pacientes atendidos en atención primaria del Sistema Nacional de Salud, con el fin de realizar estudios de investigación epidemiológica sobre la seguridad y la efectividad de los medicamentos, que esté a disposición de los investigadores del ámbito público.
Que la AEMPS en cumplimiento de sus funciones ha establecido y mantiene, en coordinación con las comunidades autónomas, una red de proceso de datos que permite a las administraciones sanitarias competentes en materia de farmacovigilancia disponer de forma telemática de toda la información sobre sospechas de reacciones adversas ocurridas en España de las que se haya tenido conocimiento. Esta información está integrada en la base de datos denominada «Farmacovigilancia Española, Datos de Reacciones Adversas» (FEDRA). La AEMPS es responsable de asegurar su disponibilidad y actualización.
Que entre las Categorías mínimas de datos de salud electrónicos previstas para uso secundario en el artículo 51 del Reglamento del Espacio Europeo de Datos de Salud se incluyen los datos de salud electrónicos procedentes de la historia clínica electrónica, datos procedentes de registros de datos de salud de base poblacional (como, por ejemplo, registros de salud pública), así como datos procedentes de los registros de medicamentos y productos sanitarios, entre los cuales figuran conjuntos de datos como BIFAP y FEDRA, así como otros gestionados por la AEMPS.
Que el artículo 3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece como uno de los principios generales de actuación de las Administraciones públicas, el principio de Cooperación, colaboración y coordinación entre las Administraciones públicas y la propia ley regula en su capítulo VI, del título preliminar el convenio como instrumento con efectos jurídicos para la formalización de acuerdos entre Administraciones para un fin común.
Que la DGDATO y la AEMPS establecerán fórmulas que aúnen sus conocimientos y esfuerzos en aplicación de los principios de cooperación y eficacia administrativa en el desarrollo del ENDS, mediante el proyecto definido en el anexo I del presente convenio.
Por todo ello, ambas partes suscriben el presente convenio, que se regirá por las siguientes
CLÁUSULAS
El presente convenio tiene por objeto establecer los términos de la colaboración entre el Ministerio para la Transformación Digital y de la Función Pública, a través de la DGDATO y la AEMPS, para la ejecución del proyecto definido en el anexo I del presente convenio, dentro del marco del Espacio Nacional de Datos de Salud (ENDS), contribuyendo al desarrollo de la investigación, la innovación y el uso secundario de los datos de salud, facilitando el uso confiable y ético de tecnologías disruptivas de tratamiento del dato y de inteligencia artificial.
El conjunto de actividades contempladas en el marco del presente convenio se detalla en el citado anexo I. Mediante acuerdo formalizado entre las partes, se podrán modificar dicho anexo I, dentro del contexto del objeto de este convenio, y conforme a lo dispuesto en la cláusula undécima del presente convenio.
El presente convenio se perfeccionará por la prestación del consentimiento de las partes, y resultará eficaz una vez inscrito, en el plazo de cinco días hábiles desde su formalización, en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del sector público estatal (REOICO). Asimismo, el convenio será publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado».
El convenio estará vigente desde su inscripción en el mencionado REOICO hasta el 30 de junio de 2026, fecha de finalización para la ejecución de los proyectos financiados por los fondos Next Generation EU, sin perjuicio de su posible prórroga.
En cualquier momento antes de finalizar la vigencia del convenio, se podrá prorrogar con el acuerdo unánime de las partes, mediante una adenda al convenio, que deberá comunicarse al REOICO, en el plazo de cinco días desde que ocurra el hecho inscribible.
Para cumplir el objeto de este convenio, la DGDATO se compromete a:
– Aportar el equipo de trabajo con perfiles adecuados para el desarrollo de las actividades previstas en el proyecto definido en el anexo I.
– Nominar a una persona del proyecto ENDS para que actúe como interlocutor principal para la AEMPS.
– En caso necesario, velar porque todos los miembros del equipo de trabajo aportado por la DGDATO hayan firmado un acuerdo de confidencialidad acerca de la información y actuaciones llevadas a cabo al amparo del proyecto definido en el anexo I, y facilitar dichos acuerdos firmados al personal de la AEMPS, si así los requieren.
– Velar por una correcta coordinación de los miembros del equipo, y facilitarle la información y documentación general para llevar a cabo el proyecto definido en el anexo I.
– Velar por la correcta ejecución del proyecto definido en el anexo I, y poner en conocimiento de la AEMPS cualquier desviación o riesgo asociado con los mismos.
– Aportar la infraestructura tecnológica del ENDS requerida para la ejecución del proyecto definido en el anexo I.
– Gestionar, si procede, el espacio físico que puntualmente requerirse para llevar a cabo las actividades previstas en el proyecto definido en el anexo I.
Por su parte, para cumplir el objeto de este convenio, la AEMPS se compromete a:
– Designar un equipo responsable que se encargue de la coordinación del proyecto y facilite al equipo de trabajo asignado los recursos necesarios para llevar a cabo el proyecto definido en el anexo I.
– Designar interlocutores por parte de cada uno de los ámbitos implicados en el proyecto definido en el anexo I, que se encarguen de proporcionar toda la información y requerimientos necesarios para la ejecución del proyecto definido en el anexo I, en particular, sobre los conjuntos de datos identificados en dicho proyecto.
– Facilitar la colaboración interna para asegurar la consecución de los objetivos perseguidos en el proyecto del anexo I.
– Facilitar al equipo de trabajo el acuerdo de confidencialidad específico o cualquier otro acuerdo que la AEMPS considere necesario que firme, siempre que dicho acuerdo sea pertinente y proporcionado a las labores a desarrollar por el equipo de trabajo dentro del proyecto definido en el anexo I.
– Gestionar, si procede, el espacio físico que puntualmente pueda requerirse para llevar a cabo las actividades previstas en el proyecto definido en el anexo I.
– Facilitar al equipo de trabajo la documentación, información y los accesos suficientes para que pueda llevar a cabo las labores que tengan encomendadas, respetando siempre el principio de mínimo acceso y mínimo privilegio.
– Canalizar las comunicaciones al equipo de trabajo a través del coordinador del mismo.
– Velar porque las actividades en las que participe el equipo de trabajo se restrinjan a aquellas pactadas para llevar a cabo el proyecto definido en el anexo I.
– Si por la naturaleza del proyecto definido en el anexo I, para la realización de actividades en el marco de dicho proyecto fuera necesario que personal del equipo de trabajo aportado por la DGDATO tuviera que desplazarse a las dependencias de la AEMPS, la AEMPS será responsable de gestionar las autorizaciones pertinentes relativas al espacio físico para el personal del equipo de trabajo aportado por la DGDATO, siguiendo sus instrucciones internas, siempre con el apoyo de los responsables de la DGDATO.
– Los trabajos que necesiten realizarse desde las dependencias de la AEMPS no implicarán un puesto de trabajo fijo en el edificio y el personal designado por la DGDATO ocupará espacios de trabajo diferenciados del que ocupan los empleados públicos.
Este convenio de colaboración no comporta obligaciones económicas entre las partes firmantes.
El presente convenio tiene carácter institucional y naturaleza jurídico-administrativa, siendo el régimen jurídico aplicable al mismo el establecido en los artículos 47 a 53 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El objeto del convenio no tiene carácter contractual y lo constituye el acuerdo entre ambas partes firmantes para la consecución de un fin común, por lo que en ningún caso tiene por objeto una prestación propia de los contratos, estando excluido de la Ley 9/2017, de Contratos del Sector Público.
El presente convenio no generará ningún tipo de vinculación contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
De acuerdo con el artículo 49.f) de la Ley 40/2015, de 1 de octubre, el seguimiento, vigilancia y control del convenio, se efectuará mediante una Comisión de Seguimiento que ejercerá sus funciones de acuerdo con la metodología propuesta por los responsables del proyecto ENDS de la DGDATO.
Dicha metodología permitirá tanto a la DGDATO como a la AEMPS visibilidad suficiente para tener constancia del progreso de las actividades recogidas en el proyecto, así como preverá, al menos, una reunión de seguimiento mensual donde se comprueben los avances o se tomen las decisiones que permitan corregir las potenciales desviaciones, incluyendo la posibilidad de modificar el alcance de este convenio de acuerdo con lo indicado en su cláusula undécima.
La Comisión de Seguimiento estará compuesta por dos representantes de la DGDATO y dos representantes de la AEMPS. De los representantes de la DGDATO, uno de ellos, la presidirá y tendrá voto de calidad. Como secretario de la Comisión actuará uno de los representantes de la AEMPS.
Los miembros de esta Comisión podrán ser sustituidos por las personas que estos designen. La sustitución, con carácter definitivo o temporal, de cualquiera de los miembros de la Comisión de Seguimiento, será anunciada en la convocatoria de la reunión correspondiente, y quedará debidamente reflejada en el acta de la misma.
En la reunión constitutiva de la Comisión de Seguimiento se designará a las personas que ejercerán, respectivamente, la presidencia y la secretaría. Estas designaciones quedarán debidamente reflejadas en el acta de dicha reunión constitutiva.
Las reuniones podrán realizarse presencialmente o mediante medios telemáticos. El secretario levantará un acta que deberá ser consensuada expresamente por los representantes indicados anteriormente.
Su funcionamiento deberá regirse por lo dispuesto en el presente documento y en el capítulo II, sección 3.ª, del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en lo que se refiere al funcionamiento de los órganos colegiados.
A la Comisión de Seguimiento podrán asistir invitados de cada una de las Partes, que actuarán con voz, pero sin voto.
Las Partes acuerdan expresamente que las dudas que puedan surgir en el funcionamiento de esta Comisión de Seguimiento y que no estén reguladas en el presente convenio, se resolverán aplicando los principios y criterios establecidos en la Ley 40/2015, de 1 de octubre, en lo que se refiere al funcionamiento de los órganos colegiados.
La Comisión de Seguimiento se constituirá en el plazo de treinta días desde la entrada en vigor del presente convenio.
Por parte de la SEDIA, actuará como responsable e interlocutor de la aplicación de este convenio la persona titular de la DGDATO o las personas en quienes esta delegue.
Por parte de la AEMPS, actuará como responsable e interlocutor de la aplicación de este convenio la persona designada por la misma, que asimismo podrá delegar, en caso necesario.
La tramitación de la documentación que las partes lleven a cabo entre sí, así como cualquier requerimiento o comunicación que se deban efectuar entre ellas en el ámbito de este convenio, se realizarán a través de cualquier medio escrito que deje constancia de su envío y recepción, ya sea en soporte papel o electrónico, sirviendo a estos efectos el burofax, la carta certificada y el correo electrónico, al que las partes otorgan plena eficacia y viabilidad.
En relación con el objeto del presente convenio, las partes mantendrán una política de relaciones con los medios de comunicación coherente y consensuada, y siempre de acuerdo con las indicaciones que se establezcan a tal fin en el marco del PRTR por la Comisión Europea y por el Gobierno de España.
A tal fin, las partes se comprometen a consultarse mutuamente el contenido de cualquier comunicación objeto de divulgación pública relativa a las actividades desarrolladas en el marco de este convenio, según proceda en función de las responsabilidades y roles que corresponden a cada parte, y manteniendo una imagen con elementos de comunicación conjuntos.
Toda la documentación que se genere seguirá los estándares definidos dentro del proyecto ENDS, respetando en cualquier caso las guías de estilo identificativos de las actuaciones financiadas con fondos PRTR.
En particular, las partes cumplirán con la obligación de información, comunicación y publicidad, según el artículo 9 de la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia.
Asimismo, en relación con las actuaciones llevadas a cabo en el marco del presente convenio, cuando corresponda informar al público, en dicha información se hará mención a la participación de la Unión Europea y financiación a través del Mecanismo de Recuperación y Resiliencia. En concreto, en la documentación que se desarrolle al ejecutar las actuaciones en virtud del convenio (como placas, carteles, cuadernillos, notas informativas o de cualquier otro tipo), se deberá exhibir de forma correcta y destacada el emblema de la UE con una declaración de financiación adecuada que diga (traducida a las lenguas locales cuando proceda) «financiado por la Unión Europea‐Next Generation EU», junto al logo del PRTR, disponible en el link https://planderecuperacion.gob.es/identidad‐visual.
Los activos que se puedan generar, en su caso, durante la ejecución del convenio serán entregados a la AEMPS para ser utilizados durante y tras la ejecución del proyecto, pudiendo ser evolucionados de la manera que la AEMPS considere adecuada.
La DGDATO mantendrá una copia de todos los activos, con el fin de evidenciar los entregables generados al amparo del proyecto ENDS, así como para el desempeño de sus propias actividades ligada al fomento del uso del dato en el Sector Público, preservando, en todo caso, la debida confidencialidad.
Independientemente de las normas previstas en este convenio, cualquiera de los firmantes podrá, por necesidades justificadas, invocar la figura del auxilio en la gestión, cuando no pueda realizar una gestión adecuada al uso previsto a sus zonas y elementos privativos. A tal efecto, el otro firmante, en la medida de sus posibilidades, reportará dicho auxilio.
El convenio podrá ser modificado por acuerdo unánime de las partes a propuesta de cualquiera de ellas mediante la suscripción de la oportuna adenda de modificación, formalizada durante el periodo de vigencia.
Este convenio se extinguirá por su cumplimiento o por incurrir en causa de resolución, siendo éstas las siguientes:
a) El transcurso de su plazo de vigencia sin haberse acordado la prórroga de éste.
b) El acuerdo unánime de todas las partes.
c) Si, por cualquier circunstancia sobrevenida, el proyecto y las tareas previstas en el anexo I no pueden continuar en la forma y duración acordadas, la AEMPS lo notificaría oficialmente a los responsables del proyecto de la DGDATO y, si ambas partes acuerdan que esas circunstancias existen y no puede ser mitigadas en tiempo y forma, acordarán asimismo una finalización, lo más ordenada posible, de las actividades, de manera que se maximice el valor aportado al proyecto ENDS por los trabajos desarrollados hasta la fecha de finalización.
d) El incumplimiento de las obligaciones y compromisos asumidos por alguna de las partes.
e) Por decisión judicial declaratoria de la nulidad del convenio.
f) Por cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.
g) Por la imposibilidad sobrevenida del cumplimiento de las actividades descritas.
h) Asimismo, las partes firmantes podrán resolver este convenio por denuncia de cualquiera de las mismas mediante preaviso comunicado de forma fehaciente a la otra parte con, al menos, tres meses de antelación a la fecha de resolución propuesta.
Cualquiera de las partes podrá notificar a la parte incumplidora para que cumpla, en un determinado plazo, con las obligaciones y compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable de la Comisión de Seguimiento y a la otra parte firmante. Si, transcurrido el plazo indicado en el requerimiento, persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
En caso de resolución del convenio por incumplimiento de las obligaciones y compromisos asumidos o por cualquier otra causa prevista en este convenio o en la ley, la Comisión de Seguimiento propondrá las condiciones y un plazo improrrogable para la finalización de las actuaciones derivadas de este convenio que estén en ejecución.
Con carácter previo a la resolución, las partes tienen la posibilidad de acudir a la solución extrajudicial prevista en el artículo 5.b) de la Ley 52/1997, de 27 de noviembre, de Asistencia Jurídica al Estado e Instituciones Públicas.
El presente convenio tiene naturaleza administrativa y se regirá por lo dispuesto en la Ley 40/2015, de 1 de octubre de Régimen Jurídico del sector Publico, las restantes normas administrativas que le sean de aplicación y los principios generales del Derecho. Las partes se comprometen a colaborar en todo lo que les sea de aplicación para la efectiva adecuación del presente convenio a los trámites previstos en dicha ley.
Las controversias y cuestiones litigiosas surgidas sobre la interpretación, desarrollo, modificación, resolución, ejecución y efectos que pudieran derivarse de la aplicación del presente convenio, deberán solventarse por la Comisión de Seguimiento, y, si no se alcanzare acuerdo a través de ésta, la resolución de cualquier controversia o discrepancia sobre los aspectos indicados quedará sometida a la jurisdicción y competencia del orden jurisdiccional Contencioso-administrativo, al que se someten expresamente las partes con renuncia a cualquier otro fuero que pudiera corresponderles.
El régimen jurídico vendrá establecido por las estipulaciones previstas en el presente convenio, rigiéndose por sus propios términos y condiciones y aplicándose los principios resultantes de la legislación española para resolver las dudas que pudieran presentarse.
Este convenio cumple con el principio DNSH («Do No Significant Harm») de «no causar un perjuicio significativo», exigido por el artículo 5.2 del Reglamento (UE) 2021/241.
Cualquier situación que constituya una causa de fuerza mayor deberá ser notificada formalmente a las otras partes sin demora, indicando la naturaleza, la duración estimada y los efectos previstos de la misma.
Las partes deberán dar todos los pasos necesarios para limitar cualquier daño provocado por una causa de fuerza mayor y reanudar la implementación del convenio lo antes posible.
En ningún caso de considerará que, si alguna de las partes no lleva a cabo sus obligaciones establecidas en el convenio por causa de fuerza mayor, estaría incurriendo en un incumplimiento de este.
A efectos del presente convenio, se considerará «Causa de Fuerza Mayor» cualquier situación o evento que:
a) Impida a alguna de las partes el cumplimiento de sus obligaciones incluidas en el convenio.
b) Se trate de una situación impredecible, excepcional y que se escape al control de las partes.
c) No derive de un error o negligencia por su parte (o de parte de otros actores implicados en la acción).
d) Resulte inevitable a pesar de haber actuado con toda la diligencia debida.
A menos que deriven de forma directa de una causa relevante de fuerza mayor, los siguientes supuestos no se considerarán como tal:
a) Cualquier incumplimiento de un servicio, defecto en el equipamiento y material o retrasos en su puesta a disposición.
b) Conflictos laborales o huelgas.
c) Dificultades financieras.
Las partes se comprometen a cumplir, en los términos que sea de aplicación, lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de protección de datos, RGPD europeo), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y en las disposiciones de desarrollo que se dicten.
En el marco del presente convenio, la AEMPS tendrá la consideración de Responsable del tratamiento en relación con los datos personales aportados, en su caso, como organismo productor de datos para el ENDS y para sus propios tratamientos, correspondiendo a la DGDATO la condición de Encargado del Tratamiento, de conformidad con el artículo 28 del RGPD.
Dicha relación se formaliza y regula mediante el contrato de Encargado de Tratamiento que se incorpora a este convenio como anexo II.
Sin perjuicio de que la AEMPS actúe como Responsable del Tratamiento, y que la DGDATO lo haga como Encargado del Tratamiento, ambas partes colaborarán en el diseño, ejecución y evaluación de las funcionalidades técnicas de tratamiento de datos en el ENDS, teniendo en cuenta sus respectivas responsabilidades diferenciadas pero complementarias, de acuerdo con los principios del Reglamento General de Protección de Datos.
Los datos personales contenidos en la base de datos BIFAP de la AEMPS que se intercambiarán en el marco del presente convenio serán exclusivamente datos seudonimizados, sin identificadores personales. BIFAP contiene un gran número (millones) de historias clínicas de pacientes, no obtenidos directamente del interesado, y cuyo fin es la farmacovigilancia, la investigación científica y la salud pública.
En este contexto, las partes intervinientes asumen que, en relación con los datos personales contenidos en BIFAP, el derecho a la información de los interesados, de acuerdo con las directrices de la Agencia Española de Protección de Datos, no implica informar individualmente a los interesados cuando, como en este caso, la comunicación resulte imposible o suponga un esfuerzo desproporcionado. Por ello, el medio apropiado para informar sobre las actividades de tratamiento es haciendo pública la información, conforme a lo establecido en el artículo 14.5.b) del RGPD. Con este fin, en la página web de BIFAP (http://bifap.aemps.es) se encuentra disponible y actualizada la información relevante y actualizada sobre la justificación, organización y finalidad de BIFAP; la referencia a cada una de las investigaciones que se llevan a cabo explotando sus datos; las condiciones de acceso a los datos, y una «Cláusula Informativa del Tratamiento de datos personales», que resume la información relevante sobre BIFAP.
Asimismo, en relación con los datos personales contenidos en BIFAP, las partes intervinientes manifiestan que, conforme a la normativa vigente (RGPD y LOPDGDD), no resulta necesaria la obtención del consentimiento de los titulares de los datos personales para realizar los tratamientos derivados de las actuaciones contempladas en el convenio, dado que se trata de conjuntos de datos seudonimizados destinados a fines de investigación científica y estadísticos, siempre que se implementen las garantías adecuadas para salvaguardar los derechos y libertades de las personas.
Para otros datos personales, no contenidos en BIFAP, que, en su caso, fuera preciso tratar en el marco del presente convenio, no resultaría asimismo precisa la obtención del consentimiento de los titulares de dichos datos personales para realizar los tratamientos derivados de las actuaciones contempladas en el presente convenio, en el caso de estar legitimado el tratamiento en base a lo dispuesto en el artículo 6.1 letra e) del RGPD, al ser necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
En todo caso, las partes asumen las obligaciones de implementar las oportunas medidas técnicas y organizativas, así como implementar el oportuno mecanismo que solvente las violaciones de la seguridad de los datos personales que puedan producirse; y asumen el tener que establecer el mecanismo de respuesta al ejercicio por parte de los titulares de los datos personales de los derechos derivados de la normativa de protección de datos personales.
En el marco del presente convenio, la AEMPS, como Responsable del Tratamiento, llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, de conformidad con lo dispuesto en el artículo 30.1 del Reglamento General de Protección de Datos.
Por su parte, la DGDATO, en su condición de Encargado del Tratamiento, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, conforme a lo establecido en el artículo 30.2 del Reglamento General de Protección de Datos.
En el marco del presente convenio, ambas partes se abstendrán de realizar cualquier tipo de tratamiento de datos personales que no sea estrictamente necesario para el cumplimiento del convenio.
Los titulares de los datos personales podrán ejercitar ante el Responsable o el Encargado del Tratamiento de datos personales los derechos de acceso, rectificación, supresión y portabilidad de los datos personales, y de limitación u oposición al tratamiento.
Sin perjuicio de que, conforme a la normativa vigente (RGPD y LOPDGDD), los citados derechos de acceso, rectificación, supresión y portabilidad se podrán excepcionar o no son aplicables cuando se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados.
Si las partes intervinientes destinasen los datos personales que obtengan a consecuencia del convenio a otra finalidad, los comunicasen o utilizasen incumpliendo lo estipulado en el convenio y/o en la normativa de protección de datos personales, cada una de las partes intervinientes responderá de las responsabilidades que deriven de los daños y perjuicios causados, a fin de garantizar al perjudicado una indemnización efectiva, sin perjuicio de lo previsto en el artículo 82.5 del RGPD europeo.
Las garantías que, en orden a los datos personales, se establecen, tendrán validez durante la vigencia de este convenio y de sus prórrogas.
Las partes velarán por el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Además de la publicación en el «Boletín Oficial del Estado», antes referida, de acuerdo con lo previsto en el artículo 8.1.b) la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, el presente convenio se publicará en el Portal de la Transparencia de la Administración General del Estado. Y, en prueba de conformidad, firman el presente convenio, de forma electrónica y a un solo efecto.
La Directora General del Dato, Ruth del Campo Bécares.–La Directora de la Agencia Española de Medicamentos y Productos Sanitarios, María Jesús Lamas Díaz.
La AEMPS es propietaria de la Base de Datos para Investigación Farmacoepidemiológica en el Ámbito Público (BIFAP). Se trata de una base de datos informatizada de registros médicos de Atención Primaria para la realización de estudios farmacoepidemiológicos y cuenta con la colaboración de varias comunidades autónomas (doce, en el momento de formalización del presente convenio).
Conforme a los datos publicados por la AEMPS, BIFAP cuenta actualmente con:
– 30 millones de historias clínicas.
– Más de 17.000 cupos de médicos de familia y pediatría.
– 292 millones de personas/año de seguimiento.
– Más de 9 años de seguimiento promedio por paciente.
– 1.400 millones de registros de problemas de salud.
– 5.100 millones de registros de medicación.
– 240 millones de registros de vacunaciones.
– Más de 12.000 millones de registros de datos generales y analíticas.
Todo ello supone un ingente potencial para suministro de datos al ENDS de cara a su puesta a disposición para investigadores sanitarios.
Por ello, mediante el desarrollo del presente proyecto se facilitará el uso de la plataforma y servicios del ENDS por la AEMPS, promoviendo la integración de BIFAP, FEDRA y cualquier otra base de datos de titularidad de la AEMPS en el ENDS, acercando con ello el uso secundario de dichos datos a los profesionales sanitarios, en consonancia con el Reglamento del Espacio Europeo de Datos de Salud.
En particular, la AEMPS tiene interés en recibir los siguientes servicios de valor añadido por parte del ENDS:
– Contar con entornos de tratamiento seguro (ETS) en el ENDS para investigadores accediendo a casos de uso basados en BIFAP.
– Disponer de capacidad de almacenamiento para bases de datos normalizadas de BIFAP, para su explotación y uso para analítica de datos.
– Integrar BIFAP en el ENDS mediante un espacio local de datos de salud (ELDS), para ofrecer la operativa completa (almacenamiento, gestión y explotación) en dicho ELDS.
– Apoyo en innovación, en particular, apoyo en la capacitación para posibles servicios basados en Inteligencia Artificial (IA) para la investigación sanitaria.
– Apoyo para la normalización de los metadatos BIFAP conforme el estándar HealthDCAT-AP.
Con todo ello, el presente Proyecto «ENDS-Apoyo a Organismos» para la AEMPS, se concreta en los siguientes cinco subproyectos, que constituyen el alcance de las actividades contempladas en el objeto del presente convenio:
1. ETS.
Puesta a disposición de Entornos de Tratamiento Seguro (ETS) para permitir que los investigadores, tanto de la AEMPS como externos, utilicen dataset de BIFAP para desarrollar casos de uso. Incluyendo funcionalidad de visor para los usuarios.
2. OMOP/CONCEPTION.
Capacidades para almacenar la base de datos relacional OMOP (con su versionado) y los ficheros CONCEPTION de BIFAP en el ENDS, incluyendo la migración y configuración de las herramientas necesarias para la normalización, explotación y analítica de los datos por parte de la AEMPS, como ATLAS y el entorno R.
3. ELDS.
Espacio Local de Datos de Salud (ELDS) para BIFAP en el ENDS, para optimizar el almacenamiento, gestión y control de los datos por parte de la AEMPS.
4. Capacidades IA.
Elaboración de una versión sintética de BIFAP que conserve las características y la información intrínseca de BIFAP, y permita la explotación segura de los datos. Asimismo, dicha versión sintética carecerá datos personales y será susceptible de publicación, contará con garantías relativas a la utilidad de los datos sintéticos y a los riesgos de reidentificación, así como permitirá el acceso y utilización de herramientas y recursos de Inteligencia Artificial (IA) orientados al desarrollo de servicios basados en IA, optimizando el valor de los datos procedentes de BIFAP.
5. HEALTHDCAT-AP.
Apoyo para el análisis del conjunto de metadatos de BIFAP y su normalización conforme al estándar europeo HealthDCAT-AP, que sirve de modelo para el ENDS.
El Proyecto, en global, incluirá, por parte del ENDS, la aportación de:
– Infraestructura tecnológica de almacenamiento, bases de datos y analítica de datos, con el dimensionamiento establecido en la correspondiente Memoria Técnica del Proyecto, y sujeta a disponibilidad por parte del ENDS.
– Herramientas de normalización, explotación y análisis de datos para los investigadores de la AEMPS, que faciliten la transformación y el aprovechamiento de los datos disponibles.
Adicionalmente, el apoyo por parte del ENDS a la AEMPS podrá contemplar, en su caso, y según el detalle incluido en la correspondiente Memoria Técnica del Proyecto, las siguientes actividades:
– Evaluación del estado de situación en el tratamiento y gestión de los datos (nivel de madurez).
– Identificación de conjuntos de datos de interés para el ENDS existentes.
– Asistencia en los procesos de generación, transformación, normalización y estandarización de diferentes bases de datos, como BIFAP o FEDRA entre otras.
– Implantación de modelos de Inteligencia Artificial de aplicación en el marco del ENDS.
– Transformación, depuración, normalización y puesta a disposición de los conjuntos de datos para el ENDS, reutilizables desde la información operacional y otras fuentes.
– Despliegue de tecnologías y herramientas PET («Privacy-Enhancing Technologies»).
En todo caso, y de aplicación a la totalidad del Proyecto contemplado en el objeto del presente convenio, el acceso a los datos BIFAP estará sujeto a las políticas y procedimientos de acceso a los mismos, asimismo en todo caso definidos, implantados, gestionados y controlados por la AEMPS.
Memoria técnica del proyecto.
El detalle y planificación de los trabajos a realizar para el desarrollo del proyecto definido en el presente anexo I se detallarán en una memoria técnica que será acordada formalmente por los respectivos responsables de cada parte, con el siguiente contenido mínimo:
1. Alcance y entregables.
2. Responsable DGDATO y responsable AEMPS.
3. Cronograma general e hitos del proyecto.
4. Descripción de las actividades contempladas. Seguimiento acordado.
5. Recursos aportados por la DGDATO.
Dicha memoria técnica podrá modificarse por acuerdo de ambas partes, dentro del ámbito del proyecto definido en el anexo I del presente convenio, sin perjuicio de las modificaciones que puedan acordar sobre el propio anexo I, conforme lo establecido en la cláusula undécima del convenio.
Contrato de Encargado del Tratamiento en el marco del convenio entre el Ministerio para la Transformación Digital y de la Función Pública y la Agencia Española de Medicamentos y Productos Sanitarios para apoyo técnico e integración de BIFAP en el marco del proyecto Espacio Nacional de Datos de Salud.
1. Objeto del contrato
El presente contrato de Encargado del Tratamiento, que tiene la naturaleza de acto jurídico de conformidad con el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante RGPD), tiene por objeto la designación, en ejercicio de sus competencias como Responsable del Tratamiento, por parte de la Agencia Española de Medicamentos y Productos Sanitarios (en adelante, AEMPS), de la Dirección General del Dato (en adelante, DGDATO) como Encargado del Tratamiento de datos personales en el marco del presente convenio, estableciendo las condiciones que regularán la relación entre el Responsable del Tratamiento y el Encargado del Tratamiento, en cumplimiento de lo dispuesto por el artículo 28 del RGPD, de acuerdo a las estipulaciones de este convenio y a las que puedan establecerse durante el desarrollo del convenio en la Comisión de Seguimiento.
Mediante la firma del presente convenio, en el cual se incluye el presente Contrato como anexo II del mismo, la DGDATO acepta actuar como Encargado del Tratamiento, por cuenta de la AEMPS, en el tratamiento de datos de carácter personal en el marco de este convenio.
Si la DGDATO destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del convenio y/o la normativa vigente, será considerado también como Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
De acuerdo con el artículo 28.3 del RGPD, establecido el vínculo del Encargado respecto del Responsable, se procede a establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y del encargado, que se detallan en el presente contrato.
2. Objeto del tratamiento
El objeto del tratamiento de datos personales en marco del presente convenio será la realización de la prestación objeto de este convenio, detallada en su anexo I.
3. Duración del tratamiento
El tratamiento de los datos por parte del Encargado del Tratamiento, de acuerdo con las instrucciones del Responsable del Tratamiento, no podrá en ningún caso extenderse más allá de la duración del presente convenio, prorrogándose en su caso por períodos iguales a éste, y deberá, en todo caso, cesar por completo a la extinción de este o a requerimiento del Responsable.
Al finalizar el tratamiento, el Responsable dará las instrucciones adecuadas de acuerdo con el artículo 28.3 g) del RGPD: a elección del Responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
Asimismo, y de acuerdo con el artículo 33.3 de la LOPDGDD, el Responsable del Tratamiento podrá solicitar que los datos sean entregados, en su caso, a un nuevo Encargado.
4. Naturaleza y finalidad del tratamiento
Conforme a la definición establecida en el artículo 4 del RGPD, tratamiento de datos personales será cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no.
En el marco de la prestación objeto del presente convenio, se llevarán a cabo únicamente los tratamientos imprescindibles para cumplir con dicho objeto y con las obligaciones de las partes.
Dichos tratamientos podrán ser los indicados a renglón seguido, sin perjuicio de los que, de similar naturaleza, pueda además establecer el Responsable del Tratamiento y que fueran necesarios para la prestación del servicio en que se enmarca el tratamiento:
– Recogida.
– Registro.
– Organización.
– Estructuración.
– Conservación.
– Cotejo.
– Adaptación o modificación.
– Extracción.
– Explotación.
– Interconexión.
– Consulta.
– Utilización.
– Supresión.
– Rectificación.
– Cifrado.
– Seudonimización.
– Sintetización.
– Anonimización.
5. Tipo de datos personales. Categorías de interesados y participantes
Inicialmente, los datos personales objeto de tratamiento serán los incluidos en la base de datos BIFAP de la AEMPS, detallados en la correspondiente documentación técnica de dicha base de datos, mantenida por la AEMPS.
En la Comisión de Seguimiento del convenio se podrá acordar la incorporación de otras fuentes de datos con datos personales, siempre que respecto a los mismas corresponda a la AEMPS ejercer como Responsable del Tratamiento.
Los interesados serán personas físicas, usuarias del Sistema Nacional de Salud, cuyos datos personales pueden estar recogidos en la base de datos BIFAP o en otras fuentes de datos, respecto a las cuales corresponda a la AEMPS ejercer como Responsable del Tratamiento de sus datos personales, que se puedan acordar por la Comisión de Seguimiento del convenio.
Los participantes serán personas físicas o jurídicas que pueden tener acceso a los datos, ya sea anonimizados, seudonimizados o cifrados, en función de los procedimientos establecidos por la AEMPS.
6. Obligaciones y derechos del Responsable del Tratamiento
1. El Responsable del Tratamiento determinará los fines y medios del tratamiento aplicable de acuerdo con el derecho nacional y de la Unión Europea y ejercerá las facultades de dirección, control u ordenación sobre el tratamiento de datos objeto del presente acuerdo.
Asimismo, aplicará las medidas técnicas y organizativas definidas en la política de protección de datos a los datos tratados, las cuales revisará y actualizará cuando sea necesario, a fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa de protección de datos. Entre esas medidas se incluirán las medidas de seguridad que determina el Esquema Nacional de Seguridad.
2. El Responsable del Tratamiento asume las siguientes obligaciones:
– Autorizar al Encargado del Tratamiento el acceso los datos personales a los que se refiere la cláusula 5 de este contrato, de acuerdo con las instrucciones del Responsable, para la realización de las actividades contempladas en el objeto del convenio.
– Realizar cuando proceda una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado, con anterioridad al tratamiento y con la periodicidad adecuada para dar cumplimiento a dicha antelación. Para la adopción de medidas se tendrán en cuenta, en particular, los riesgos contemplados en el artículo 28.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En cualquier caso, la adecuación de las medidas se establecerá según el contexto, la naturaleza, el ámbito, los fines y riesgos para los derechos de los sujetos de los datos que impliquen los tratamientos.
– Realizar las consultas previas que correspondan a la autoridad de control de acuerdo con el artículo 36 del RGPD.
– Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado. La implementación de los principios, derechos y obligaciones del RGPD exige a los responsables la adopción de las medidas que sean adecuadas para conseguirlo: herramientas jurídicas, organizativas y también técnicas.
– Aplicar los principios de minimización y protección de datos desde el diseño y por defecto.
– Supervisar el tratamiento, incluida la realización de inspecciones y auditorías sobre los servicios prestados por el Encargado del Tratamiento que sean necesarias para dar cumplimiento a la legislación vigente.
7. Obligaciones y derechos del Encargado del Tratamiento
De conformidad con lo previsto en el artículo 28 del RGPD, el Encargado del Tratamiento se obliga a y garantiza el cumplimiento de:
– Tratar los Datos Personales conforme al convenio y las instrucciones documentadas en la ejecución del mismo, y aquellas que, en su caso, reciba del Responsable del Tratamiento por escrito en cada momento.
El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento cuando, en su opinión, una instrucción sea contraria a la normativa de protección de Datos Personales aplicable en cada momento.
– No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del convenio referenciado.
– Tomar las medidas de seguridad necesaria para tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.
Entre esas medidas se incluirán las medidas de seguridad que determina el Esquema Nacional de Seguridad.
– Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del contrato, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del Encargado del Tratamiento, siendo deber del mismo instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la prestación objeto del presente convenio o de su desvinculación.
– Llevar un listado de personas autorizadas para tratar los Datos Personales objeto del presente acuerdo y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición del Responsable del Tratamiento dicha documentación acreditativa.
– Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.
– Salvo que cuente en cada caso con la autorización expresa del Responsable del Tratamiento, no comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación.
– Nombrar Delegado de Protección de Datos, en caso de que sea necesario según el RGPD, y comunicarlo al Responsable del Tratamiento, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el Encargado del Tratamiento como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
– Una vez finalizada la prestación objeto del presente acuerdo, se compromete a devolver o destruir (i) los Datos Personales a los que haya tenido acceso; (ii) los Datos Personales generados por el Encargado del Tratamiento por causa del tratamiento; y (iii) los soportes y documentos en que cualquiera de estos datos conste, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El Encargado del Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el Responsable del Tratamiento. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
– Según corresponda, a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, equipamiento que podrá estar bajo el control del Responsable del Tratamiento o bajo el control directo o indirecto del Encargado del Tratamiento, u otros que hayan sido expresamente autorizados por escrito por el Responsable del Tratamiento, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución de las actuaciones objeto del convenio referenciado.
– A tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en el convenio referenciado, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que, por causa de Derecho nacional o de la Unión Europea, el Encargado del Tratamiento se vea obligado a llevar a cabo alguna transferencia internacional de datos, este informará por escrito al Responsable del Tratamiento de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Responsable del Tratamiento, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
– De conformidad con el artículo 33 RGPD, comunicar al Responsable del Tratamiento, de forma inmediata y a más tardar en el plazo de setenta y dos horas, cualquier violación de la seguridad de los Datos Personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución de las actividades contempladas en el convenio referenciado. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
– Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los «Derechos»), ante el Encargado del Tratamiento, éste debe comunicarlo al Responsable del Tratamiento con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
– Asistirá al Responsable del Tratamiento, siempre que sea posible, para que éste pueda cumplir y dar respuesta a los ejercicios de Derechos.
– Colaborar con el Responsable del Tratamiento en el cumplimiento de sus obligaciones en materia de (i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y (iii) colaborar en la realización, cuando proceda, de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
– Asimismo, pondrá a disposición del Responsable del Tratamiento, a requerimiento de este, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el convenio referenciado y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el Responsable del Tratamiento.
– Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Responsable del Tratamiento, a requerimiento de esta. Asimismo, durante la vigencia del convenio referenciado, pondrá a disposición del Responsable del Tratamiento toda información, certificaciones y auditorías realizadas en cada momento.
– Derecho de información: el Encargado del Tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
8. Subencargos de tratamiento asociados a subcontrataciones
Cuando esté prevista la posibilidad de la subcontratación de actividades del convenio referenciado, y en caso de que el Encargado del Tratamiento pretenda subcontratar con terceros la ejecución de actividades objeto del convenio y el subcontratista, si fuera contratado, deba acceder a Datos Personales, dicho Encargado del Tratamiento lo pondrá en conocimiento previo del Responsable del Tratamiento, identificando qué tratamiento de datos personales conlleva, para que el Responsable del Tratamiento decida, en su caso, si otorgar o no su autorización a dicha subcontratación.
En todo caso, para autorizar la contratación, es requisito indispensable que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde al Responsable del Tratamiento la decisión de si otorgar, o no, dicho consentimiento):
– Que el tratamiento de datos personales por parte del subcontratista se ajuste a la legalidad vigente, a lo contemplado en el convenio referenciado y a las instrucciones del Responsable del Tratamiento.
– Que el Encargado del Tratamiento y la empresa subcontratista formalicen un contrato de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente contrato y en el convenio referenciado, los cuales serán puestos a disposición del Responsable del Tratamiento a su mera solicitud para verificar su existencia y contenido.
El Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier cambio previsto en la incorporación o sustitución de otros subcontratistas, dando así al Responsable del Tratamiento la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta del Responsable del Tratamiento a dicha solicitud por el Encargado del Tratamiento equivale a oponerse a dichos cambios.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
