Está Vd. en

Documento BOE-A-2023-2213

Resolución de 24 de enero de 2023, de la Subsecretaría, por la que se publica el Convenio entre la Mutualidad General de Funcionarios Civiles del Estado, el Instituto Social de las Fuerzas Armadas, la Mutualidad General Judicial y la Comunidad Autónoma de Castilla-La Mancha, para la gestión de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al sistema sanitario público de Castilla-La Mancha a través del sistema de receta electrónica.

Publicado en:
«BOE» núm. 23, de 27 de enero de 2023, páginas 11833 a 11843 (11 págs.)
Sección:
III. Otras disposiciones
Departamento:
Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática
Referencia:
BOE-A-2023-2213

TEXTO ORIGINAL

La Directora General de la Mutualidad General de Funcionarios Civiles del Estado, el Secretario General Gerente del Instituto Social de las Fuerzas Armadas, el Gerente de la Mutualidad General Judicial y el Consejero de Sanidad de la Comunidad Autónoma de Castilla-La Mancha han suscrito un convenio para la gestión de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al sistema sanitario público de Castilla-La Mancha a través del sistema de receta electrónica.

Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente resolución.

Madrid, 24 de enero de 2023.–El Subsecretario de la Presidencia, Relaciones con las Cortes y Memoria Democrática, Alberto Herrera Rodríguez.

ANEJO
Convenio entre la Mutualidad General de Funcionarios Civiles del Estado, el Instituto Social de las Fuerzas Armadas, la Mutualidad General Judicial y la Consejería de Sanidad del Gobierno de Castilla-La Mancha, para la gestión de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al sistema sanitario público de Castilla-La Mancha a través del sistema de receta electrónica

21 de diciembre de 2022.

REUNIDOS

De una parte,

Doña Myriam Pallarés Cortón, Directora General de la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), nombrada por Real Decreto 190/2020, de 29 de enero, en virtud de las facultades que le confiere el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y actuando en nombre y representación de MUFACE, en uso de las facultades que le confiere el artículo 11.2.k) del Real Decreto 577/1997, de 18 de abril, por el que se establece la estructura de los órganos de gobierno, administración y representación de MUFACE.

Don José Javier Rodrigo de Azpiazu, Secretario General Gerente del Instituto Social de las Fuerzas Armadas (ISFAS), nombrado por Resolución 430/38216/2022, de 31 de mayo, en virtud de las facultades que le confiere el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y actuando en nombre y representación de ISFAS, en uso de las facultades que le confiere el artículo 18 del Reglamento General de la Seguridad Social de las Fuerzas Armadas, aprobado por Real Decreto 1726/2007, de 21 de diciembre.

Y don José Juan Tomás Porter, Gerente de la Mutualidad General Judicial (MUGEJU), nombrado por Acuerdo del Subsecretario de Justicia de fecha 29 de junio de 2021, en virtud de las facultades que le confiere el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y actuando en nombre y representación de MUGEJU, en uso de las facultades que le confiere el artículo 12 del Real Decreto 96/2019, de 1 de marzo, de reordenación y actualización de la estructura orgánica de la Mutualidad General Judicial.

De otra, don Jesús Fernández Sanz, Consejero de Sanidad de la Comunidad Autónoma de Castilla-La Mancha, en virtud del nombramiento realizado por Decreto 70/2019, de 7 de julio (DOCM número 132), y de conformidad por lo dispuesto en el artículo 23 de la Ley 11/2003, de 25 de septiembre, del Gobierno y del Consejo Consultivo de Castilla-La Mancha, así como el Decreto 81/2019, de 16 de julio, de estructura orgánica y competencias de la Consejería de Sanidad (DOCM número 141).

Reconociéndose las partes plena capacidad jurídica de actuar en la representación legal que ostentan para suscribir el presente convenio y, a tal fin,

EXPONEN

Primero.

La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud, consagra el derecho a la asistencia sanitaria y establece en su Disposición adicional cuarta que la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), el Instituto Social de las Fuerzas Armadas (ISFAS) y la Mutualidad General Judicial (MUGEJU), como integrantes del Sistema Nacional de Salud, en su calidad de entidades gestoras de los Regímenes Especiales de la Seguridad Social de los Funcionarios Civiles del Estado, de las Fuerzas Armadas y del personal al servicio de la Administración de Justicia, respectivamente, tendrán que garantizar el contenido de la cartera de servicios del Sistema Nacional de Salud, así como las garantías sobre accesibilidad, movilidad, calidad, seguridad, información y tiempo recogidas en esta ley, de acuerdo con lo dispuesto en su normativa específica.

Segundo.

MUFACE, ISFAS y MUGEJU prestan a sus mutualistas y beneficiarios, entre otros servicios, la asistencia sanitaria, conforme a lo establecido en sus leyes reguladoras aprobadas por los Reales Decretos Legislativos 4/2000, de 23 de junio; 1/2000, de 9 de junio, y 3/2000, de 23 de junio, facilitando asistencia sanitaria a sus mutualistas y beneficiarios a través de Conciertos con Entidades, tanto privadas como públicas. Este sistema permite a los mutualistas optar entre la Red Sanitaria Pública, recibiendo la atención por los Servicios de Salud de las Comunidades Autónomas o con diversas entidades privadas.

Tercero.

La prestación de asistencia sanitaria comprende los servicios médicos, quirúrgicos y farmacéuticos conducentes a conservar o restablecer la salud de los titulares y beneficiarios de estos regímenes especiales.

Por lo que respecta a la prestación farmacéutica, ésta consiste en la dispensación a los beneficiarios de asistencia sanitaria, a través de los procedimientos establecidos, reglamentariamente, de los medicamentos, fórmulas magistrales, efectos y accesorios farmacéuticos y otros productos sanitarios, reconocidos por la legislación vigente, y con la extensión determinada para el Sistema Nacional de Salud.

Los facultativos que tengan a su cargo la asistencia sanitaria podrán prescribir, de acuerdo con las instrucciones que al efecto establezcan las Mutualidades, los medicamentos, fórmulas magistrales, efectos y accesorios farmacéuticos y otros productos sanitarios reconocidos por la legislación sanitaria vigente que sean convenientes para la recuperación de la salud de sus pacientes.

La dispensación de los medicamentos y productos sanitarios incluidos en la prestación farmacéutica a través de receta médica se efectuará, en todo caso, con cargo a las Mutualidades, con la aportación económica de los propios beneficiarios que, en su caso, corresponda.

Cuarto.

La Consejería de Sanidad de la Junta de Castilla La Mancha es la responsable de la ejecución de las directrices y los criterios generales de la política de salud, planificación y asistencia sanitaria y bajo su dependencia y dirección se encuentra el Servicio de Salud de Castilla-La Mancha (en adelante, SESCAM).

En el ejercicio de tales competencias, el SESCAM, presta la asistencia sanitaria a los titulares de MUFACE, ISFAS y MUGEJU, y sus beneficiarios que, en el ámbito geográfico de la Comunidad Autónoma de Castilla-La Mancha, hayan optado por adscribirse a los servicios públicos del Sistema Nacional de Salud.

Quinto.

En el marco de la búsqueda de la mejora de la prestación de la asistencia sanitaria, la receta electrónica se configura como un elemento clave para este objetivo. En este sentido, con la receta electrónica se mejora la calidad asistencial, la calidad de la información sobre la historia farmacoterapéutica de los pacientes y la seguridad en el uso de los medicamentos facilitando el seguimiento farmacoterapéutico y la accesibilidad del paciente al reducir los desplazamientos y trámites relacionados con los tratamientos crónicos.

A todo ello hay que añadir que se potencia la atención farmacéutica, consiguiendo una gestión eficiente de los recursos farmacoterapéuticos mediante la racionalización y la informatización de la prescripción y dispensación de los medicamentos.

MUFACE, ISFAS y MUGEJU dentro de sus acciones de mejora constante de la prestación de asistencia sanitaria en su conjunto, tienen entre sus objetivos la implantación gradual de un sistema de receta electrónica destinado a todo su colectivo protegido, tanto de aquellos que reciben la prestación de asistencia sanitaria a través del Sistema Sanitario Público como con entidades de Seguro de Asistencia Sanitaria.

La Consejería de Sanidad, dispone de un Sistema de Información de Receta Electrónica, plenamente implantando en el ámbito del Sistema Sanitario Público de Castilla-La Mancha, que aporta a sus beneficiarios todas las ventajas antes mencionadas.

Sexto.

En el marco de colaboración mutua que debe presidir las relaciones entre las Administraciones Públicas, conforme al principio establecido en el artículo 140 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, los representantes de las partes consideran que es de interés mutuo para el cumplimiento de sus respectivos fines suscribir un convenio para la gestión de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al sistema sanitario público de Castilla-La Mancha, a través del sistema de receta electrónica del SESCAM.

Por todo ello, dada esta convergencia de intereses y con la finalidad de concretar los compromisos de las dos partes, se acuerda suscribir el presente convenio que se regirá por las siguientes

CLÁUSULAS

Primera. Objeto del Convenio y ámbito de aplicación.

El presente convenio tiene por objeto formalizar la colaboración entre la Consejería de Sanidad de Castilla-La Mancha, y MUFACE, ISFAS y MUGEJU para la gestión de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al Sistema sanitario público de Castilla-La Mancha, a través del Sistema de Información de Receta Electrónica del SESCAM.

Segunda. Compromisos que asumen las partes.

1. La Consejería de Sanidad garantizará que la prescripción de medicamentos y productos sanitarios, incluidos en la prestación farmacéutica ambulatoria a través de receta médica del Sistema Nacional de Salud, al colectivo mutualista adscrito al Sistema sanitario público de Castilla-La Mancha pueda realizarse a través del Sistema de Información de Receta Electrónica del SESCAM en igualdad de condiciones que al resto de usuarios, incluido el visado de Inspección.

2. MUFACE, ISFAS y MUGEJU asumen la aplicación de los mismos criterios de indicación, prescripción y visado que los aplicados al resto de usuarios a través del Sistema de Información de Receta Electrónica del SESCAM, siendo el SESCAM el obligado a la vigilancia del cumplimiento de los requisitos establecidos en cada uno de los módulos mencionados, así como del cumplimiento de las reglas que se establecen en esta aplicación de receta electrónica para la dispensación de los medicamentos y productos sanitarios en las oficinas de farmacia.

3. MUFACE, ISFAS y MUGEJU adoptarán los acuerdos correspondientes con los representantes de las oficinas de farmacia a efectos de la facturación de las recetas emitidas a su respectivo colectivo a través del Sistema de Información de Receta Electrónica del SESCAM.

4. La Consejería de Sanidad, a través del SESCAM, por su parte, remitirá mensualmente a cada entidad un fichero con las dispensaciones electrónicas realizadas a los pacientes públicos adscritos a cada una de las mismas, con objeto de que éstas puedan realizar un adecuado control de la facturación de las dispensaciones electrónicas realizadas a su colectivo. A este respecto, el Sistema de Receta Electrónica del SESCAM no permite en ningún caso el registro de la dispensación de un medicamento si no se adecúa a la prescripción y reglas de visado en su caso. Además únicamente están habilitados para prescribir en dicho Sistema los facultativos pertenecientes al mismo.

En anexo al presente convenio se establecen la especificaciones técnicas y formato de los ficheros (uno para cada Mutualidad), así como la descripción de los datos y el procedimiento de envío seguro.

Tercera. Seguimiento y evaluación del convenio.

Con el fin de coordinar las actividades necesarias para la ejecución del presente convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión Mixta de coordinación y seguimiento compuesta por tres representantes de la Consejería de Sanidad, dos de ellos a propuesta del Servicio de Salud de Castilla-La Mancha, y otros tres de las Mutualidades, nombrados por sus responsables.

La Presidencia de la Comisión de Seguimiento se desempeñará alternativamente entre cada una de las dos partes que componen dicha Comisión por periodos anuales, correspondiendo el primer año a la Consejería de Sanidad. La alternancia de la Presidencia por parte de las Mutualidades se realizará por el orden en que aparecen mencionadas en el título de este convenio. En calidad de asesores, con derecho a voz, podrán incorporarse otras personas que se considere necesario.

La Comisión se reunirá a petición de cualquiera de las partes y, al menos, una vez al año, para examinar los resultados e incidencias de la colaboración realizada. Las diferencias que resulten de la interpretación y cumplimiento de este convenio, podrán ser solventadas por mutuo acuerdo de las partes en el seno de esta Comisión, sin perjuicio de las competencias del orden jurisdiccional contencioso administrativo para el conocimiento de cuantas cuestiones y litigios pudieran surgir.

Cuarta. Protección de datos.

Las partes firmantes se comprometen a cumplir las previsiones contenidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y en la normativa posterior que lo desarrolle o modifique.

Los datos de carácter personal que se recaben u obtengan las partes en el desarrollo y aplicación del convenio, serán tratados y utilizados de conformidad con la normativa vigente. En particular, las partes se comprometen a respetar el deber de secreto, y las limitaciones en su caso marcadas por la normativa de aplicación, sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

El tratamiento de los datos del presente convenio queda sometido a la mencionada normativa, así como a la vigente en cada momento.

En todo caso, los datos intercambiados entre MUFACE, ISFAS y MUGEJU y el SESCAM serán los estrictamente necesarios para el cumplimiento del objeto del convenio, no intercambiándose datos de personas no incluidas en el ámbito del mismo.

Quinta. Eficacia, vigencia y causas de extinción.

1. El presente convenio se perfecciona por la prestación del consentimiento de las partes, y adquirirá eficacia una vez inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del sector público estatal de conformidad con lo establecido en el artículo 48.8 y en la disposición adicional séptima de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público Estatal, debiendo ser publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado» (BOE).

2. El plazo de vigencia es de cuatro años, pudiendo prorrogarse por acuerdo unánime de las partes antes de la finalización del plazo de vigencia por un periodo de cuatro años adicionales, de conformidad con lo establecido en el artículo 49.h) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

3. Este convenio se extinguirá por cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.

4. El convenio podrá resolverse por las siguientes causas:

a) Por el transcurso del plazo de vigencia sin haberse acordado su prórroga.

b) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes en los términos establecidos en el artículo 51.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

c) De mutuo acuerdo por las partes, en cuyo caso la parte que lo solicite deberá comunicarlo con una antelación mínima de dos meses.

d) Por decisión judicial declaratoria de la nulidad del convenio.

e) Por cualquier otra causa distinta de las anteriores prevista en otras leyes.

5. En caso de incumplimiento de alguna de las obligaciones establecidas en este convenio por alguna de las partes, cualquiera de las otras deberá comunicarlo a la Comisión Mixta de coordinación y seguimiento prevista en la cláusula tercera, que decidirá sobre las actuaciones a llevar a cabo. En caso de persistir el incumplimiento se entenderá resuelto el convenio

6. En caso de resolución del convenio se estará a lo dispuesto en el artículo 52 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Sexta. Modificación.

El presente convenio podrá modificarse por mutuo acuerdo de las partes mediante adenda al mismo que se ajustará al procedimiento establecido para su autorización y suscripción.

Séptima. Financiación.

El presente convenio no genera obligaciones económicas adicionales para ninguna de las partes firmantes del mismo.

Octava. Naturaleza y régimen jurídico.

Este convenio tiene naturaleza administrativa, siéndole de aplicación lo dispuesto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Las dudas o controversias que surjan entre las partes sobre los efectos, interpretación, modificación o resolución del mismo que no puedan resolverse por conciliación en la Comisión Mixta de Coordinación y Seguimiento, serán sometidas a los tribunales competentes de la jurisdicción contencioso-administrativa.

Y, en prueba de conformidad con el contenido del presente convenio, las partes lo firman electrónicamente, en el lugar donde se encuentran sus respectivas sedes, entendiéndose que el día de su firma es aquel en que el mismo sea suscrito por el último de los firmantes.–La Directora General de la Mutualidad General de Funcionarios Civiles del Estado, Myriam Pallarés Cortón.–El Secretario General Gerente del Instituto Social de las Fuerzas Armadas, José Javier Rodrigo de Azpiazu.–El Gerente de la Mutualidad General Judicial, José Juan Tomás Porter.–El Consejero de Sanidad de la Comunidad Autónoma de Castilla-La Mancha, Jesús Fernández Sanz.

ANEXO I
Ficheros de dispensaciones de ayuda para la verificación de la facturación de recetas electrónicas.

1. Contenido de los ficheros

Orden Atributo Tipo de Dato Extensión Descripción
1 Código de receta electrónica. Alfanumérico 10 Código único de receta electrónica dispensada.
2 Código Autonómico del paciente. Alfanumérico 16 CIP Autonómico usado en la dispensación electrónica.
3 Código SNS del paciente. Alfanumérico 16 Código SNS del asegurado.
4 CN del producto dispensado. Numérico 6 Código Nacional del medicamento o producto dispensado.
5 Número de envases dispensados. numérico 1 Siempre valor 1.
6 Fecha de dispensación. Numérico 8 Fecha de dispensación (formato AAAAMMDD).
7 Hora de dispensación. Numérico 6 Hora de dispensación (formato HH24MMSS).
8 Tipos de dispensación. Alfanumérico 2 Campo que identifica las dispensaciones en las que la prescripción haya sido por principio activo, o en las que se haya registrado una sustitución en la dispensación (diferenciando motivos).
9-21 Campos no informados. vacío 0  
22 Aportaciones especiales. Numérico 1 Identifica prescripciones a colectivos con aportación especial: accidentes de trabajo, campañas sanitarias, hipercolesterolemia familiar.
23 Indicativo Interoperabilidad. Alfanumérico 1 S/N en función de si receta es interoperable (procedente de otra CA).

2. Nomenclatura de los ficheros

Estructura: <XX>_DISP_<AAAA><MM>_<II>_<FF>_<NN>.txt.

– <XX> letras «MC» (Muface); «IS» (Isfas); «MJ» (Mugeju).

– <AAAA> 4 dígitos del año del mes de facturación al que se hace referencia.

– <MM> 2 dígitos indicando el mes de facturación al que se hace referencia.

– <II> 2 dígitos para indicar el día de inicio del intervalo.

– <FF> dos dígitos para indicar el día de fin del intervalo.

– <NN> es un número secuencial que se incrementará en caso de tener que generar el fichero más de una vez, normalmente su valor será 01.

3. Formato de los ficheros

– Fichero plano secuencial en formato ASCII extendido y codificación «ISO-8859-15».

– Contendrá un único tipo de registro, y cada registro corresponderá a una dispensación.

– Los campos con el contenido y la extensión (longitud máxima) prevista en el punto 1 del anexo, se separarán con el carácter «|»(barra vertical, con codificación hexadecimal «7C» según «ISO-8859-15»).

– El contenido de cada campo debe estar alineado a la izquierda.

– En el caso de que un campo no esté informado no habrá ninguna información entre los separadores «|», pero siempre deben aparecer los separadores del campo aunque sea el último registro.

4. Procedimiento de envío (antes del día 5 de cada mes)

– MUFACE: mediante FTPS al repositorio de la mutualidad.

– ISFAS: mediante SFTP al repositorio de la mutualidad.

– MUGEJU: mediante SFTP al repositorio de las mutualidad.

ANEXO II
Acuerdo de protección de datos de carácter personal

1. Objeto del encargo del tratamiento

A efectos de lo previsto en el artículo 28.3 del Reglamento (UE) 2016/679 (en adelante, RGPD) y el resto de disposiciones vigentes en materia de protección de datos), el responsable del tratamiento es la Dirección Gerencia del Servicio de Salud de Castilla-La Mancha (SESCAM) y el encargado del tratamiento es la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), el Instituto Social de las Fuerzas armadas (ISFAS), la Mutualidad General Judicial (MUGEJU) y el Consejo General de Colegios Oficiales de Farmacéuticos de Castilla-La Mancha (COFCAM)».

El tratamiento consistirá en: recepción mensual y explotación de un fichero con las dispensaciones electrónicas realizadas a los pacientes públicos adscritos a la entidad, con objeto de que éstas puedan realizar un adecuado control de la dispensaciones facturadas por las oficinas de farmacia de Castilla-La Mancha.

Concreción de los tratamientos a realizar:

Recogida.

Estructuración.

Modificación.

Conservación.

Extracción.

Consulta.

Comunicación.

Interconexión (cruce).

Cotejo.

Destrucción.

2. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento, pone a disposición del encargado del tratamiento, la información que se encuentra incluida en la siguiente actividad de tratamiento:

a) Historia Clínica del SESCAM con código RAT 1154.

3. Duración

El presente acuerdo tiene la misma duración que el Convenio al que se adjunta.

Los datos personales se conservarán durante el tiempo que sea necesario para cumplir con la finalidad para la que se recabaron, es decir para el control de las dispensaciones electrónicas facturadas a la entidad.

4. Obligaciones del encargado del tratamiento

El encargado del tratamiento y todo su personal se someten a la normativa de protección de datos anteriormente mencionada y de forma específica, las siguientes condiciones:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de carácter nacional, el encargado informará inmediatamente al responsable.

c) Presentar ante el Responsable la adhesión a códigos de conducta aprobados a tenor del artículo 40 del RGPD o a mecanismos de certificación aprobados a tenor del artículo 42 del RGPD.

d) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

e) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

f) Subcontratación.

Se autoriza al encargado a subcontratar con la empresa Identificar a la empresa contratada en su caso.

Para subcontratar con otras empresas, el encargado debe comunicarlo por escrito al responsable, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de un mes.

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

g) Mantener el deber de secreto respecto de los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

h) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, según el modelo facilitado por el responsable del tratamiento, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.

i) Remitir al responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

j) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

k) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición.

2. Limitación del tratamiento.

3. Portabilidad de datos.

4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección dpd@sescam.jccm.es. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

l) Derecho de información: Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.

m) Notificación de violaciones de la seguridad de los datos: El encargado del tratamiento sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, notificará al responsable del tratamiento, a través de Eladio Linares Morcillo (eladio.linares@sescam.jccm.es) Director de Sistemas de Información del SESCAM, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del Delegado de Protección de Datos de su empresa o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

n) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

o) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir y colaborar con la realización de las auditorías o las inspecciones realizadas por cuenta del responsable.

p) Designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al responsable

q) Destino de los datos: Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento.

No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

r) En el caso de que los datos deban incorporarse en dispositivos portátiles, o deban tratarse fuera de los locales del encargado, se necesita autorización expresa del responsable, la cual deberá constar en el documento de seguridad. En cualquier caso, debe garantizarse el correspondiente nivel de seguridad.

s) No prestar el servicio objeto del presente documento mediante tecnología en nube sin la autorización expresa del responsable.

t) Implantar medidas de seguridad: Las medidas de seguridad implantadas corresponden a las aplicadas de acuerdo al anexo II (Medidas de seguridad) del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

5. Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.

b) Proporcionar al encargado el modelo de información para trabajadores externos.

c) Realizar una evaluación del impacto en la protección de datos personales, si procede, de las operaciones de tratamiento a realizar por el encargado.

d) Realizar las consultas previas que corresponda.

e) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

f) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías a través del delegado de protección de datos del responsable.

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid