Está Vd. en

Documento BOE-A-2019-7836

Resolución de 29 de abril de 2019, de la Dirección General de Servicios para las Familias y la Infancia, por la que se publica la Adenda al Convenio con la Comunidad Autónoma del Principado de Asturias, para la difusión e implantación del Sistema de Información de Usuarios de Servicios Sociales y su aplicación informática.

Publicado en:
«BOE» núm. 125, de 25 de mayo de 2019, páginas 55993 a 55998 (6 págs.)
Sección:
III. Otras disposiciones
Departamento:
Ministerio de Sanidad, Consumo y Bienestar Social
Referencia:
BOE-A-2019-7836

TEXTO ORIGINAL

Con fecha 26 de abril de 2019 se ha suscrito la Adenda entre el Ministerio de Sanidad, Consumo y Bienestar Social y la Comunidad Autónoma del Principado de Asturias.

En cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, una vez inscrito en el Registro Electrónico Estatal de Instrumentos de Cooperación, procede la publicación en el «Boletín Oficial del Estado» de dicha Adenda, que figura como anexo a esta Resolución.

Madrid, 29 de abril de 2019.–El Director General de Servicios para las Familias y la Infancia, Ángel Parreño Lizcano.

ANEXO
Adenda al convenio sobre el sistema de información de usuarios de servicios sociales (SIUSS) entre el Ministerio de Sanidad, Consumo y Bienestar Social y la Comunidad Autónoma del Principado de Asturias

En Madrid, a 26 de abril de 2019.

REUNIDOS

De una parte, don Ángel Parreño Lizcano, Director General de Servicios para las Familias y la Infancia del Ministerio de Sanidad, Consumo y Bienestar Social, nombrado mediante Real Decreto 1254/2018, de 5 de octubre (BOE núm. 242, de 6 de octubre de 2018) en nombre y representación del citado Ministerio, de conformidad con lo dispuesto en el apartado decimoséptimo de la Orden SSI/131/2013, de 17 de enero, sobre delegación de competencias, y en virtud del Real Decreto 104/2018, de 24 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio de Sanidad, Consumo y Bienestar Social y se modifica el Real Decreto 595/2018, de 22 de junio, por el que se establece la estructura orgánica básica de los departamentos ministeriales (BOE núm. 206, de 25 de agosto de 2018).

Y de otra, doña Pilar Varela Díaz, Consejera de Servicios y Derechos Sociales, nombrada por Decreto 7/2015, de 28 de julio, del Presidente del Principado de Asturias, por el que se nombra a los miembros del Consejo de Gobierno (BOPA núm. 175, de 29 de julio), en nombre y representación de la Comunidad Autónoma del Principado de Asturias, actuando en virtud de las competencias que le otorga el Decreto 66/2015, de 13 de agosto, por el que se establece la estructura orgánica básica de la Consejería de Servicios y Derechos Sociales.

Ambas partes intervinientes en la representación y con las facultades que sus respectivos cargos les confieren, reconociéndose mutuamente capacidad y legitimación para obligarse y convenir, y al efecto

MANIFIESTAN

Que el Ministerio de Sanidad, Servicios Sociales e Igualdad (actual Ministerio de Sanidad, Consumo y Bienestar Social) y la Comunidad Autónoma del Principado de Asturias, a través de la Consejería de Bienestar Social y Vivienda (actual Consejería de Servicios y Derechos Sociales) firmaron con fecha 23 de octubre de 2013, un Convenio para la difusión e implantación de SIUSS y su aplicación informática.

Que conforme a lo indicado en la cláusula segunda del citado convenio, el Ministerio de Sanidad, Servicios Sociales e Igualdad (actual Ministerio de Sanidad, Consumo y Bienestar Social) concede a la Comunidad Autónoma del Principado de Asturias la licencia de uso para la utilización del programa informático, en entorno web, dentro del ámbito de la Administración Autonómica y las Corporaciones Locales de su territorio.

La Comunidad Autónoma del Principado de Asturias se compromete a la implantación de SIUSS en las Corporaciones Locales de su territorio, dándoles acceso al programa informático.

Que tal como señala la cláusula tercera del citado convenio, cada Corporación Local en el ámbito de la Comunidad Autónoma del Principado de Asturias es responsable del fichero de datos personales denominado «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», debidamente declarado e inscrito en el Registro de Ficheros de Datos Personales de la Agencia Española de Protección de Datos, siendo el mismo instrumental respecto a las competencias que las leyes le otorgan para la prestación de servicios sociales.

Que tal como señala la cláusula cuarta del citado convenio, el Ministerio de Sanidad, Servicios Sociales e Igualdad (actual Ministerio de Sanidad, Consumo y Bienestar Social), conforme a lo establecido en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), se constituye en «encargado del tratamiento» (en adelante encargado) y alojará en sus servidores la información contenida en el fichero «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», del que es responsable la Corporación Local, tal como señala la cláusula tercera, limitándose su actuación al simple alojamiento y realización de tareas de backup y a la prestación al responsable de los servicios necesarios para que éste pueda usar la información, cargarla y explotarla, sin que pueda, en ningún caso, acceder a los datos personales que el fichero contiene.

Que tal como señala la cláusula séptima del citado convenio el Ministerio deberá instrumentalizar y poner a disposición de los responsables de los ficheros, a través de la Comunidad Autónoma, los medios necesarios para que tenga acceso en todo momento a su fichero y pueda realizar en él las actuaciones y explotaciones que tenga por conveniente.

Que tal como indica la cláusula undécima del citado convenio y en el Anexo de subcontratación suscrito «El encargado no podrá subcontratar las tareas encomendadas mediante el presente encargo. En caso de necesitar subcontratarlo se precisará la firma por las partes de un anexo a este Convenio, con indicación de los servicios a subcontratar y el adjudicatario de los mismos».

Que el Tratado de funcionamiento de la Unión Europea, encomienda al Parlamento Europeo y al Consejo que establezcan las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y las normas relativas a la libre circulación de dichos datos.

Que conforme al Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, será posible la subcontratación de las tareas encomendadas al encargado del tratamiento.

Que el Ministerio de Sanidad, Consumo y Bienestar Social, en virtud de sus competencias que le vienen atribuidas por el Real Decreto 1047/2018, de 24 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio de Sanidad, Consumo y Bienestar Social y se modifica el Real Decreto 595/2018, de 22 de junio, por el que se establece la estructura orgánica básica de los departamentos ministeriales (BOE núm. 206, de 25 de agosto de 2018), y de conformidad con lo establecido en la Ley Orgánica 7/1981 de 30 de diciembre que aprueba el Estatuto de Autonomía de la Comunidad Autónoma del Principado de Asturias y le confiere competencias en materia de Acción Social y Servicios Sociales.

Que de acuerdo con lo establecido en el artículo 47 de la Ley 40/2015, de 1 de octubre, del régimen jurídico del sector público y en el artículo 140 de la citada Ley, sobre las relaciones que deben regir entre las administraciones públicas, las partes firmantes desean formalizar la presente Adenda, con arreglo a las siguientes

CLÁUSULAS

Primera. Objeto de la Adenda.

En cumplimiento del artículo 28.2, del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se modifica la cláusula undécima del Convenio vigente, que pasará a tener la siguiente redacción: «Será posible la subcontratación de las tareas encomendadas al encargado de tratamiento mediante el presente encargo.

En observancia de lo dispuesto en el Reglamento UE 2016/679, de 27 de abril y en la Ley Orgánica 3/2018, de 5 de diciembre, el Encargo de Tratamiento suscrito entre el Ministerio de Sanidad, Consumo y Bienestar Social y la Consejería de Servicios y Derechos Sociales, se regirá por las siguientes instrucciones al encargado del tratamiento:

1. Objeto del Encargo e Idoneidad del Encargado: El objeto del Encargo es el alojamiento en los servidores del Ministerio de Sanidad, Consumo y Bienestar Social (Encargado) de la información contenida en el fichero «Sistema de Información de Usuarios de Servicios Sociales (en adelante, SIUSS)»

La actividad de alojamiento de los datos conlleva la realización de tareas de backup y cuantos servicios adicionales resulten necesarios para que la Consejería de Servicios y Derechos Sociales pueda usar, cargar y explotar la información en ella contenida en todo momento.

La idoneidad del Encargado, a los efectos del artículo 28 del citado RGPD y de la Ley Orgánica 3/2018, se basa en la declaración de reunir las garantías que exige la normativa vigente en materia de protección de datos.

2. Identificación de los Datos Personales afectados/tratados: En el entorno SIUSS se tratan, evalúan y analizan los datos relativos a los usuarios de los servicios sociales prestados por profesionales en el ámbito de la Comunidad del Principado de Asturias. Estos datos, a los efectos del RGPD y de la Ley Orgánica 3/2018, tienen la consideración de datos especialmente protegidos.

3. Duración: El encargo de tratamiento tendrá la misma duración que el Convenio que trae causa, finalizando en el momento que deje de surtir efectos el mismo.

4. Medidas organizativas, técnicas y de seguridad: El Encargado se obliga a:

– No tener acceso a los datos personales contenidos en SIUSS. No obstante, el Ministerio de Sanidad, Consumo y Bienestar Social, en el ejercicio de sus competencias podrá realizar explotaciones de la información contenida en SIUSS siempre que la misma se haga sin datos de carácter personal. Esto es, se disocie la información de las personas físicas del resto de las informaciones relevantes garantizando que en ningún caso pudiera llegarse a identificar a las mismas.

– Adoptar las medidas técnicas, organizativas y de seguridad necesarias para garantizar la confidencialidad de los datos, de acuerdo con las instrucciones del Responsable y la normativa; en todo caso, tratar los datos exclusivamente para la finalidad señalada, observando las exigencias específicas para los datos especialmente protegidos.

– Llevar un registro por escrito de todas las actividades del tratamiento y las personas que lo realizan, procediendo a la seudonimización, la anonimización de los datos o al cifrado, conforme a los medios técnicos disponibles, garantizando en todo caso la confidencialidad, la integridad y la disponibilidad de los datos afectados. Este Registro deberá ser puesto a disposición de los Responsables, a través de la Comunidad Autónoma, en cualquier momento.

– Exigir de su personal autorizado, destinado a la plataforma SIUSS, que se comprometan expresamente a observar el contenido del presente acuerdo, cumpliendo con todas las medidas de seguridad implementadas, de las que han de ser previamente informados. Este compromiso se entenderá cumplido cuando venga impuesto por una obligación de naturaleza estatutaria.

– Verificar y evaluar el grado de cumplimiento de estas medidas en cada ocasión, identificando y comunicando a los Responsables, a través de la Comunidad Autónoma, la persona de contacto asignada. En su caso, colaborar en el análisis de impacto y a la evaluación del riesgo del tratamiento con los Responsables.

– Facilitar cuando así le sea requerido las auditorías y actuaciones de control e inspección que de dicho tratamiento realice, tanto el propio Responsable como la Autoridad de Control competente en un plazo máximo a determinar en cada requerimiento, colaborando en todo momento con el Responsable y/o su Delegado de Protección de Datos. Asimismo, deberá proceder a la notificación de las violaciones de seguridad al Responsable y a las Autoridades de Protección de Datos que resulten competentes y/o en su caso, a los propios titulares de los datos afectados, de forma coordinada y autorizada por el Responsable.

– Informar inmediatamente al Responsable, a través de la Comunidad Autónoma, si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos de la Unión Europea o de España. También le comunicará con carácter urgente cualquier violación de seguridad que se produzca respecto al tratamiento de datos SIUSS.

– No ceder, publicar ni comunicar datos personales a terceras personas, salvo previa y expresa autorización por parte del responsable del tratamiento y siempre que se trate de los supuestos previstos en la normativa o en el apartado quinto.

– De estar adherido el Encargado de tratamiento a un código de conducta de protección de datos, deberá adoptar cuantas medidas adicionales le vengan impuestas en dicho código o certificado.

5. Subcontratación: No podrá modificar o subcontratar a otro encargado, ni ceder los datos a un tercero sin la expresa autorización por escrito de los Responsables, a través de la Comunidad Autónoma en el plazo de 15 días hábiles desde la recepción de la solicitud de autorización. En el supuesto de que los Responsables, a través de la Comunidad Autónoma, lo autoricen, el Encargado deberá de comunicar los datos de contacto del Subcontratista, avalando su idoneidad para el servicio externalizado. El subcontratista ostentará la condición de encargado de tratamiento, siendo necesario a tal efecto que suscriba un acuerdo de Encargo de Tratamiento específico con el Ministerio de Sanidad, Consumo y Bienestar Social, adicional al presente.

El Ministerio de Sanidad, Consumo y Bienestar Social como Encargado principal seguirá respondiendo íntegramente de las obligaciones legales y las consignadas en el presente documento.

6. Derechos de los Afectados y Colaboración con las Autoridades de Control: El Encargado deberá asistir al Responsable, en la respuesta a los afectados titulares de los datos en el ejercicio de sus derechos. A tal fin, cuando las personas afectadas ejerzan los derechos de acceso, rectificación u oposición; en su caso, la portabilidad de los datos o el derecho a no ser objeto de decisiones automatizadas y aquellos que figuran en los artículos 12-22 del RGPD y en la Ley Orgánica 3/2018, deberá comunicar a la mayor brevedad posible la solicitud al Responsable, y/o su Delegado de Protección de Datos teniendo en cuenta que el tiempo de respuesta al ciudadano no podrá superar el mes natural.

Asimismo, deberá de facilitarle al solicitante que quiera ejercer sus derechos los datos relativos al Responsable del Tratamiento de los datos, información que será proporcionada por la Comunidad Autónoma en el plazo de 15 días desde la solicitud.

7. Destino Final de los Datos Personales Tratados: Cumplida la prestación objeto del presente encargo, el Encargado deberá devolver todos los tratamientos de datos personales, al igual que cuanta documentación o soporte se haya elaborado como consecuencia de los mismos. Únicamente podrá conservar una copia anonimizada del tratamiento a los efectos probatorios en caso eventuales responsabilidades jurídicas futuras.

Queda sin contenido el Anexo de Subcontratación firmado con fecha 23 de octubre de 2013.

Aquellas Corporaciones Locales que decidan utilizar la nueva versión SIUSS en entorno web deberán suscribir su adhesión mediante el modelo que se acompaña al presente Convenio como anexo.

Segunda. Aplicación del Reglamento UE 2016/679, de 27 de abril y de la Ley Orgánica 3/2018.

Todas las referencias efectuadas, en el convenio suscrito con fecha 23 de octubre de 2018 con la Comunidad Autónoma del Principado de Asturias, a la ley Orgánica de Protección de Datos de Carácter Personal, se entenderán hechas al Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, cuya aplicación comenzó el 25 de mayo de 2018, y a la Ley Orgánica 3/2018, de 5 de diciembre, que entró en vigor el 7 de diciembre de 2018.

Tercera. Compromisos económicos.

La presente Adenda no conlleva compromisos económicos.

Cuarta. Naturaleza jurídica.

Esta Adenda se formaliza de acuerdo con lo establecido en el artículo 47 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público y tiene carácter administrativo, siendo la Jurisdicción Contencioso-administrativa la competente para conocer de los conflictos a que la ejecución de la Adenda pudiera dar lugar.

Todas las referencias efectuadas en el Convenio de 23 de octubre de 2013 a la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, deben entenderse realizadas a los preceptos correspondiente de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

Quinta. Vigencia y eficacia de la Adenda.

La vigencia de la Adenda, de acuerdo con lo indicado en la disposición adicional octava de la ley 40/2015, de 1 de octubre de RJSP, en cuanto al plazo de vigencia del Convenio formalizado, por aplicación directa de las reglas previstas en el artículo 49.h).1.º para los convenios que no tuvieran determinado un plazo de vigencia o, existiendo, tuvieran establecida una prórroga tácita por tiempo indefinido en el momento de la entrada en vigor de esta Ley. En estos casos el plazo de vigencia del convenio formalizado será de cuatro años a contar desde la entrada en vigor de la presente Ley.

La Adenda surtirá efectos una vez inscrita en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación (REOICO) y publicada en el «Boletín Oficial del Estado», conforme al art. 48 de la Ley 40/2015, de 1 de octubre.

Y para que así conste, y en prueba de conformidad, las partes intervinientes firman, por duplicado ejemplar, la presente Adenda, en el lugar y fecha al principio expresados.– Por el Ministerio de Sanidad, Consumo y Bienestar Social, el Director General de Servicios para las Familias y la Infancia, Ángel Parreño Lizcano.–Por la Comunidad Autónoma del Principado de Asturias, la Consejera de Servicios y Derechos Sociales, Pilar Varela Díaz.

ANEXO
Protocolo de adhesión

D./D.ª (nombre y cargo) ......................................……………….............................……., en representación de (Entidad Local) ……………………........................……......................

DECLARA

Que (órgano competente) de (Entidad Local) ha acordado con fecha ……...........…… adherirse al Convenio de colaboración suscrito en fecha 23 de octubre de 2013 entre el Ministerio de Sanidad, Servicios Sociales e Igualdad y la Comunidad Autónoma del Principado de Asturias, para la difusión e implantación del SIUSS y su aplicación informática y a su Adenda de fecha 26 de abril de 2019.

Que (Entidad Local) llevará un Registro de Actividades de Tratamiento en cumplimiento del Reglamento 2016/679 de la UE relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

MANIFIESTA

La voluntad de (Entidad Local), cuya representación ostenta, de adherirse expresamente a todas y cada una de las cláusulas del Convenio y Adenda mencionado, asumiendo las obligaciones derivadas del mismo y con sujeción a todas sus cláusulas.

En (Entidad Local) a ……….. de ………… de 20…

(Antefirma y Firma)

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid