Agencia Estatal Boletín Oficial del Estado
Suscrito el Convenio de colaboración entre la Tesorería General de la Seguridad Social y el Servicio Canario de Empleo sobre cesión de información, y en cumplimiento de lo dispuesto en el punto dos del artículo 8 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, procede la publicación en el «Boletín Oficial del Estado» del citado convenio, que figura como anexo de esta resolución.
Madrid, 8 de octubre de 2013.–El Secretario General Técnico del Ministerio de Empleo y Seguridad Social, Pablo Hernández-Lahoz Ortiz.
En Madrid, a 5 de septiembre de 2013
REUNIDOS
De una parte, la Tesorería General de la Seguridad Social (en adelante TGSS), representada por su Director General, don Francisco Gómez Ferreiro, nombrado por Real Decreto 292/2012 de 27 de enero («BOE» número 24, de 28 de enero de 2012).
De otra parte, el Servicio Canario de Empleo (en adelante, SCE), representado por su Presidenta, doña Francisca Luengo Orol, actuando en virtud de las competencias que le atribuye el artículo 7.1.e) de la Ley 12/2003, de 4 de abril, del SCE, en redacción dada por la Ley 3/2011, de 18 de febrero, de modificación de la Ley 12/2003, de 4 de abril, del SCE y de Regulación del Sistema de Empleo de la Comunidad Autónoma de Canarias. La Presidenta del SCE es la titular del departamento competente en materia de empleo, según dispone el artículo 7.2 de la citada Ley 12/2003, de 4 de abril. El nombramiento de doña Francisca Luengo Orol como Consejera de Empleo, Industria y Comercio fue realizado mediante Decreto 2/2013, de 3 de enero, del Presidente, por el que se nombra a los Consejeros del Gobierno de Canarias («BOC» número 3, de 4 de enero de 2013).
Los intervinientes, que actúan en razón de sus respectivos cargos y en la representación que ostentan, se reconocen mutua y recíprocamente la capacidad legal necesaria para la formalización del presente documento, y en su mérito,
EXPONEN
La TGSS es un servicio común de la Seguridad Social, tutelado por el Ministerio de Empleo y Seguridad Social, con personalidad jurídica propia, donde por aplicación de los principios de solidaridad financiera y caja única, se unifican todos los recursos económicos y la administración financiera del Sistema de la Seguridad Social.
El artículo 1.a) y b) del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la TGSS, dispone que se le atribuye a dicho Órgano la inscripción de empresas y la afiliación, altas y bajas de los trabajadores y el de la gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social. Dichas materias han sido reguladas posteriormente por el Reglamento General sobre inscripción de empresas y afiliación, altas y bajas y variaciones de datos de trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero, por el Reglamento General sobre cotización y liquidación de otros derechos de la Seguridad Social, aprobado por Real Decreto 2064/1995, de 22 de diciembre, y por el Reglamento General de recaudación de la Seguridad Social, aprobado por Real Decreto 1415/2004, de 11 de julio.
El artículo 66, punto 1, del Real Decreto Legislativo 1/1994, de 20 de junio, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, conforme a la nueva redacción dada por la Ley 52/2003, de 10 de diciembre, de disposiciones específicas en materia de Seguridad Social, establece que los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto, entre otros supuestos, los recogidos en el apartado d), que establece la colaboración con cualesquiera otras Administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.
El SCE es un Organismo Autónomo de carácter administrativo creado por Ley 12/2003, de 18 de abril, del SCE. El artículo 3 de la mencionada Ley, en redacción dada por la Ley 3/2011, de 18 de febrero, de modificación de la Ley 12/2003, de 4 de abril, del SCE y de Regulación del Sistema de Empleo de la Comunidad Autónoma de Canarias, dispone que el SCE tiene encomendado el ejercicio de las funciones necesarias para la gestión de la intermediación laboral y de las políticas activas de empleo, en los términos que a continuación se detallan:
a) La elaboración de propuestas para la determinación de la política de empleo del Gobierno de Canarias y la fijación de las correspondientes actuaciones en el marco del Plan de Empleo de Canarias, así como la fiscalización de resultados.
b) La realización de estudios y análisis sobre la situación del mercado de trabajo en Canarias y las medidas para mejorarlo, así como mantener las bases de datos correspondientes a ofertas y demandas de empleo y colaborar en la elaboración de estadísticas en materia de empleo.
c) La promoción de la inserción laboral de personas en situación de exclusión social.
d) La coordinación de los recursos que se integran en el Sistema Público de Empleo de Canarias y prestar asistencia técnica a los órganos de la Administración Pública de la Comunidad Autónoma de Canarias y a los de otras administraciones públicas, cuando sea requerido para ello, en materia de empleo y de formación para el empleo.
e) En el desarrollo de sus funciones el Servicio Canario de Empleo ofrecerá a la ciudadanía un servicio de empleo público y gratuito, sobre la base de una atención eficaz y de calidad, modernizando el sistema de atención a demandantes de empleo a través de la incorporación de las tecnologías de la información y la comunicación, garantizando a la ciudadanía la plena disponibilidad electrónica de los servicios que presta.
f) Cualesquiera otras competencias que legal o reglamentariamente se le atribuyan.
El artículo 4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, establece que las Administraciones Públicas en el desarrollo de su actividad y en sus relaciones recíprocas deben prestar en el ámbito propio la cooperación y asistencia activa que las otras Administraciones pudieran recabar para el ejercicio de sus competencias.
El 13 de mayo de 2010 la TGSS y el SCE, Organismo Autónomo del Gobierno de Canarias, suscribieron un Convenio para la cesión de información procedente de las bases de datos de la TGSS, cuyo plazo de vigencia finalizaba el 31 de diciembre de 2010. Mediante Adenda de 7 de junio de 2011 al Convenio de Colaboración de 13 de mayo de 2010, se modificaron una serie de cláusulas de este último y se acordó prorrogar su vigencia desde el momento de la firma de la Adenda hasta el 31 de diciembre de 2011, fecha en la que quedó extinguido.
En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente Convenio, de conformidad con las siguientes
CLÁUSULAS
El presente Convenio tiene por objeto fijar las condiciones y términos de la colaboración entre la TGSS y el SCE para la cesión de información procedente de las bases de datos de la TGSS.
La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva el desarrollo de las concretas funciones sobre gestión, control y evaluación de subvenciones, relacionadas con políticas activas de empleo cuya competencia de concesión recae en el SCE y que justifican su cesión.
Los procedimientos para el intercambio de información entre la TGSS y el SCE se realizarán de las maneras listadas a continuación:
– Mediante un acceso directo a la base de datos de la TGSS.
– Mediante un suministro de información a través de ficheros y a través de consulta a servicios disponibles en la Sede Electrónica de la TGSS.
Debido a la frecuencia e intensidad con la que son necesarios los intercambios de información para el cumplimiento de las finalidades reguladas en la normativa correspondiente se permitirá al SCE la consulta a las siguientes transacciones:
– Del Fichero General de Afiliación, consulta a la transacción ACC70-Consulta de códigos cuentas de cotización.
– Del Fichero General de Recaudación, consulta a la transacción RBC01-Consulta de bases de cotización.
La TGSS se reserva el derecho a modificar las condiciones técnicas en que se prestará el acceso a la información que el presente Convenio autoriza sin que ello deba suponer, por sí solo, modificación de los términos del mismo.
Respecto a estos accesos directos la TGSS y el SCE, deberán ajustarse a lo establecido en los siguientes puntos:
1. La TGSS realizará la autorización inicial de acceso a los datos a que se refiere el presente Convenio.
2. La configuración del acceso objeto del presente Convenio habrá de cumplir los siguientes principios establecidos por la Orden de 17 de enero de 1996 sobre control de acceso al sistema informático de la Seguridad Social:
Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados a acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.
Integridad, garantizando que únicamente los usuarios autorizados, y en forma y con los límites de la autorización, puedan crear, utilizar, modificar o suprimir la información.
Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
3. La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario autorizador con nivel 4, en el SCE y éste a su vez dará de alta tantos códigos de usuarios como sean necesarios para la realización de las funciones de gestión encomendadas.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.
El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.
4. El usuario administrador/autorizador y subsidiriamente el SCE son responsables de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilarán la correcta utilización de las autorizaciones concedidas.
5. Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello en el momento de autorizar un usuario se cumplimentarán todos los campos exigidos, tales como: características del puesto de trabajo e información complementaria, número de teléfono, fax, etc.
6. Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
7. Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte, se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos tres meses sin acceder al Fichero General de Afiliación o al Fichero General de Recaudación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de los usuarios y limitaciones en el horario de conexión.
8. En todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especifiquen los compromisos adoptados por el usuario, que se adjunta como anexo I. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la TGSS.
9. Todos los usuarios identificados, así como sus responsables en el SCE, deben tener conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en el Título VII de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS definido a estos hechos, al objeto de procurar la adopción de medidas pertinentes entre ambas partes.
10. El SCE, como órgano cesionario, deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos, tal y como se recoge en el anexo II.
A. Cesión de información de la TGSS al SCE.
El suministro de información que proporcionará la TGSS al SCE se realizará en base al artículo 66.1 de la Ley General de la Seguridad Social en el que se establece que «los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a la TGSS, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tengan por objeto, entre otros supuestos, los recogidos en el apartado d) «la colaboración con cualesquiera otras Administraciones Públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos Regímenes del Sistema de la Seguridad Social».
Se realizarán de dos maneras:
1. A través del Servicio de la Sede Electrónica de la página Web de la Seguridad Social que facilitará la siguiente información:
– Informe de situación de deuda.
– Informe de vida laboral de empresas.
– Informe de situación actual del trabajador.
– Informe de vida laboral últimos seis meses.
– Informe de alta laboral a fecha concreta.
– Informe número medio anual de trabajadores en situación de alta.
La autorización de todos estos servicios a través de la Sede Electrónica supone el cumplimiento de los requisitos exigidos en la misma para cada uno de ellos.
2. La TGSS remitirá información al SCE sobre los códigos cuenta de cotización (CCC) en alta y trabajadores adscritos a los mismos en la Comunidad Autónoma de Canarias en los siguientes períodos:
– Desde el 1 de octubre de 2011 al 31 de diciembre de 2012.
– Desde el 1 de enero al 30 de abril de 2013.
– Desde el 1 de mayo al 31 de agosto de 2013.
– Desde el 1 de septiembre al 31 de diciembre de 2013.
Una vez finalice el suministro de la información de los citados períodos, en virtud de lo establecido en la cláusula décima del presente documento, se procederá, siempre y cuando se prorrogue el Convenio, a realizar envíos con carácter cuatrimestral, correspondiendo anualmente a los siguientes períodos:
– 1 de enero a 30 de abril.
– 1 de mayo a 31 de agosto.
– 1 de septiembre a 31 de diciembre.
Los datos a suministrar son:
– Para el CCC: CCC, nombre y apellidos o razón social, CIF/NIF, domicilio, CNAE y descripción y TRL y descripción.
– Respecto de los trabajadores: NAF, IPF, nombre y apellidos, situación, fechas reales y de efectos de alta y baja, tipo de contrato, coeficiente tiempo parcial, grupo de cotización, tipo de registro sant., tipo situación y descripción.
B. Cesión de datos del SCE a la TGSS.
La TGSS podrá solicitar información al SCE procedente del Sistema de Información del Servicio Público de Empleo de Canarias (SISPECAN) sobre los datos personales de trabajadores inscritos como demandantes de empleo.
Los procedimientos para el intercambio de información entre el SCE y la TGSS se realizarán de la siguiente manera:
– Mediante suministro de información, a través de ficheros.
– Mediante acceso directo al Sistema de Información del Servicio Público de Empleo datos del Servicio Canario de Empleo.
La cesión de información procedente de la base de datos del SCE tiene como finalidad exclusiva la mejora de los servicios competencia de la TGSS y deberán observarse las medidas de control y seguridad contempladas en la normativa de protección de datos de carácter personal.»
EI control y seguridad de los datos suministrados se regirá por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el Reglamento de Desarrollo de esta Ley Orgánica, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, y en las Cláusulas de Seguridad aprobadas por la TGSS.
El SCE asume todos los términos de las cláusulas de Seguridad aprobadas por la TGSS, que se incluyen como anexo III.
El SCE acepta y asume por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este Convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente Convenio que facultará a la Tesorería para exigir las responsabilidades oportunas.
El SCE será responsable frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La Tesorería podrá repetir contra el Organismo cesionario por cualquier indemnización que deba satisfacer derivado de dicho incumplimiento.
Cuantas autoridades, funcionarios y resto de personal tengan conocimiento de los datos o información suministrados en virtud de este Convenio estarán obligados al más estricto y completo sigilo respecto de ellos. La violación de esta obligación implicara incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes, así como el sometimiento al ejercicio de las competencias que corresponden a la Agencia de Protecci6n de Datos.
El suministro de información amparado por este Convenio no tendrá otros efectos que los derivados del objeto y la finalidad para los que los datos fueron suministrados. En consecuencia, no originará derechos ni expectativas de derechos en favor de los interesados o afectados por la información suministrada, ni interrumpirá la prescripción de los derechos u obligaciones a que puedan referirse los procedimientos para los que se obtuvo aquélla. De igual modo, la información suministrada no afectará a lo que pudiera resultar de las actuaciones de comprobación o investigación o de la ulterior modificación de los datos suministrados.
El presente Convenio no contempla la existencia de gastos que requieran el establecimiento de un sistema de financiación en el mismo, considerando que los derivados del cumplimiento de lo acordado no implican incremento de los programas ordinarios de gasto e inversión de cada administración. A este respecto, cada administración interviniente asumirá con sus propios medios las acciones a emprender en cumplimiento de este Convenio. Cualquier necesidad de financiación conjunta que pudiera surgir será, en su caso, objeto de acuerdo y formalización en un nuevo Convenio específico.
El presente Convenio de colaboración surtirá efectos desde el 1 de enero de 2012, con efectos retroactivos, hasta el 31 de diciembre de 2013. Al término de dicho plazo, se entenderá prorrogado por plazos anuales sucesivos, salvo denuncia expresa por alguna de las partes con dos meses de antelación, como mínimo, a la fecha de su vencimiento.
Será causa de resolución del presente convenio cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del SCE, así como el incumplimiento de las cláusulas comprendidas en el presente Convenio.
El presente Convenio tiene naturaleza administrativa y esta excluido de la Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, en virtud de lo establecido en el artículo 4.1.c) del mismo, rigiéndose en su interpretación y desarrollo por el ordenamiento jurídico aplicable a los convenios de colaboración entre Administraciones Públicas, en concreto por lo dispuesto en el artículo 6 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común.
Ambas partes aceptan la sumisión expresa a los Juzgados y Tribunales de Madrid capital para todas las cuestiones derivadas del cumplimiento o interpretación del presente Convenio.
En prueba de conformidad, ambas partes lo firman por duplicado en la fecha y lugar indicados en el encabezamiento.–El Director General de la TGSS, Francisco Gómez Ferreiro.–La Presidenta del SCE, Francisca Luengo Orol.
D./D.ª. …………………………………..………………, con DNI …………………………, y adscrito/a ............................................................
Por el presente documento,
COMUNICA
Que, de conformidad con lo dispuesto en los artículos 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y 6 de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso, dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el Titulo VII de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como a responsabilidades de cualquier otra naturaleza incluso penales.
En …………………………………………., a............... de ……………… de 20……
EI SCE, como órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.
EI órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Las partes incluidas en el proceso de auditoría son las siguientes:
1. Auditor Delegado en el Servicio Canario de Empleo.
Sus funciones y competencias son:
• Será el interlocutor con la TGSS en el ámbito de su competencia y su función principal será efectuar la auditoría mensual a los usuarios autorizados en su Organismo.
• Tendrá como mínimo un nivel 26 de complemento de destino, salvo petición justificada del órgano cesionario que solicitara la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorías.
• Se le asignará en SILCON un perfil de usuario auditor, dándosele de alta a estos efectos por la TGSS en el Departamento correspondiente las altas, bajas a sustituciones que se produzcan en la persona designada como Auditor Delegado deberán ser comunicados a la mayor brevedad posible al Auditor Delegado de la TGSS quien lo pondrá en conocimiento de la Unidad Nacional de Auditorías.
• La Unidad Nacional de Auditorías, previa solicitud del Organismo externo, podrá autorizar la figura de auditor delegado suplente (que deberá cumplir los mismos requisitos de nivel que el auditor delegado y se le asignara también en SILCON un nivel 4) en los supuestos de vacante, ausencia o enfermedad del auditor delegado.
• El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan en SILCON un nivel 4. Ello es debido a que la tarea de auditoría no es informática sino de justificación documental de los accesos.
• En ningún caso podrán coincidir en la misma persona los cargos de Administrador SILCON y Auditor Delegado.
2. Auditor Delegado de la TGSS en Santa Cruz de Tenerife:
En la Dirección Provincial de la TGSS de Santa Cruz de Tenerife, el Auditor Delegado Provincial tendrá las siguientes funciones:
• Realizar las auditorías de los accesos del Auditor Delegado del Organismo externo.
• Recibir, sistematizar y analizar los datos facilitados en el informe mensual de auditoría elaborado por el Auditor Delegado del Organismo externo.
• Asignación/Desasignación de un Departamento al Auditor Delegado del Organismo externo.
• Información y resolución de dudas e incidencias al Auditor Delegado del Organismo externo.
• Comunicar el resultado de las auditorías e incidencias a la Unidad Nacional de Auditorías.
3. Unidad Nacional de Auditorías.
• Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorías se lleven a efecto por las unidades competentes, con unos criterios unificados.
• Formular propuestas y recomendaciones en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:
• Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
• Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
• Administrar las transacciones SILCON específicamente referidas al sistema de auditorías así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin, la Unidad Nacional de Auditorías elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.
• Realizar auditorías específicas de accesos indebidos al Sistema de Confidencialidad cuando se produzcan denuncias por los titulares de los datos accedidos, cualquiera que sea su lugar de presentación y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.
• Coordinar y preparar la información que requiera la Dirección General para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorías cualquier escrito o solicitud que se reciba de dicha Agencia.
EI procedimiento concreto de auditoría se pondrá en conocimiento del Organismo externo por parte de la Dirección Provincial de la TGSS antes del inicio de la auditoría mensual que proceda, la cual explicará dicho proceso y solicitará los datos personales del auditor delegado.
1. Introducción
En los últimos años la Seguridad Social ha estado colaborando con otras administraciones públicas y organismos cediendo información para conseguir una mayor eficiencia administrativa o un mejor servicio a los ciudadanos. Esta colaboración requiere que se cree un marco de confianza entre las partes que intercambian los datos, que haga posible su protección adecuada.
Las partes más importantes en estos intercambios son las siguientes:
La entidad cedente: La TGSS o Servicio Común de la Seguridad Social que cede sus datos. Como responsable de los ficheros que los contienen, lo es también (y en virtud de la legislación de protección de datos) de adoptar las medidas de seguridad que protejan esta información. Por ello, debe trasladar esta responsabilidad a las entidades que reciben los datos.
La entidad cesionaria: Administración Pública u organismo que recibe los datos de la entidad cedente. Deben protegerlos mediante un conjunto de medidas de seguridad, tanto organizativas como técnicas.
El objetivo del presente documento es establecer el conjunto de cláusulas que recojan dichas medidas e incluirlas en el convenio, sobre cesión de información, suscrito entre la entidad cedente y la cesionaria.
2. Descripción de las garantías y responsabilidades de seguridad
Los compromisos que el SCE, como entidad cesionaria debe asumir son los siguientes:
Identificar un canal de comunicación con un responsable para resolver incidencias y que la TGSS pueda solicitar auditorías de peticiones de datos realizadas.
– Garantizar que realiza una gestión de usuarios y que será capaz de informar de su listado a la TGSS en caso de que sea necesario.
– Implantar los mecanismos de control de acceso que garanticen que solo los usuarios autorizados pueden solicitar datos.
– Almacenar la información necesaria que permita comprobar la adecuación de cada una de las peticiones a la autorización y habilitar un procedimiento para que la TGSS pueda solicitar auditorías de peticiones de datos realizadas.
– Disponer de procedimientos de gestión de los soportes de información que garanticen que se almacena correctamente la información cedida y sobre todo los datos que se utilizarán en una auditoría de peticiones para comprobar que la petición realizada ha sido lícita.
– No utilizar datos reales en pruebas de aplicaciones que utilicen datos cedidos.
– Informar a sus empleados de todas las responsabilidades que acarrea el uso de los servicios de cesión de datos.
– No realizar comunicaciones de datos a terceras empresas o Administraciones sin cumplir las condiciones impuestas por la legislación.
3. Texto de las garantías y responsabilidades: Cláusulas de seguridad
EI SCE, como organismo que recibe los datos de la TGSS, debe asumir los siguientes compromisos:
3.1 Identificación de un canal de comunicación.
Que pone a disposición de la TGSS un canal de comunicación (con nombre o cargo de un responsable, teléfono, correo electrónico, etc.) mediante el cual pueda ponerse en contacto para:
Resolver incidencias relacionadas con la cesión de datos.
Que los responsables de fiscalización y control de la TGSS puedan solicitar auditorías de peticiones de datos para comprobar que se cumplen los requisitos de acuerdo a los cuales se autorizó el acceso a los servicios de cesión de datos.
Por ello, debe facilitar los datos de contacto a la TGSS.
3.2 Gestión de usuarios.
Que tiene implantados los procedimientos que permitan gestionar las altas, bajas o modificaciones de los permisos de sus usuarios o componentes autorizados a acceder a los servicios de cesión de datos, de forma que garantice que solo acceden aquéllos que estén debidamente autorizados.
Que podrá facilitar una lista actualizada de estos usuarios o componentes en caso de ser solicitada por la TGSS
3.3 Control de acceso.
Que utiliza mecanismos de control adecuados en aquellos equipos de trabajo desde los que se van a realizar tratamientos informáticos con los datos cedidos para evitar que un usuario o componente pueda acceder sin autorización. De la misma forma, que protege el acceso a los soportes que almacenen información procedente de la TGSS.
3.4 Almacenamiento de información.
Que almacena o bien que dispone de procedimientos para obtener la información necesaria (consentimiento del ciudadano, fin para el que se solicitaron los datos, etc.) para ser presentada ante una solicitud de la TGSS con el fin de justificarla y demostrar la adecuación de las peticiones realizadas a una finalidad legítima.
3.5 Pruebas con datos reales.
En el caso de desarrollar aplicaciones que realicen algún tipo de tratamiento de los datos solicitados, que durante sus pruebas no utilizará datos reales.
3.6 Información a los usuarios autorizados.
Que informará adecuadamente a todos los trabajadores que accedan directa o indirectamente (a través de aplicaciones residentes en ella) a los datos cedidos por la TGSS, pertenezcan o no a su propia organización, de al menos:
– Las responsabilidades que asumen.
– La finalidad concreta de la autorización de acceso a los datos de la TGSS.
– Que la TGSS almacena rastros de cada una de las peticiones realizadas.
– Que en cualquier momento se podrá solicitar la justificación de peticiones de datos realizadas, de acuerdo a los requisitos legales y a la finalidad para la que se autorizó la cesión.
– Las medidas que deberá cumplir para garantizar la seguridad de la información.
3.7 Comunicación de datos a terceros.
Que controlará o evitará las cesiones de los datos de la TGSS a terceras Administraciones o empresas, en los términos del articulo 11 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
