Habiéndose suscrito el 23 de agosto de 2021 el Convenio entre el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias y el Servicio Aragonés de Salud dependiente del Departamento de Sanidad del Gobierno de Aragón en materia de asistencia sanitaria a personas privadas de libertad en centros penitenciarios, procede la publicación en el «Boletín Oficial del Estado» de dicho Convenio que figura como anexo a esta Resolución.
Madrid, 1 de septiembre de 2021.–El Secretario General Técnico, Juan Antonio Puigserver Martínez.
23 de agosto de 2021.
REUNIDOS
De una parte, don Ángel Luis Ortiz González, Secretario General de Instituciones Penitenciarias por Real Decreto de nombramiento 504/2018, de 18 de junio, a tenor de lo dispuesto en el Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior y con competencia para firmar convenios según el apartado noveno de la Orden INT/985/2005, de 7 de abril, por la que se delegan determinadas atribuciones y se aprueban las delegaciones efectuadas por otras autoridades.
Y de otra, doña Sira Repollés Lasheras, Consejera de Sanidad, según designación efectuada por Decreto de 13 de mayo de 2020, de la Presidencia del Gobierno de Aragón, en nombre y representación del Gobierno de Aragón, y facultado expresamente para su firma por Acuerdo del Consejo de Gobierno celebrado el día 14 de julio de 2021 y en ejercicio de las competencias que le confiere el artículo 7, apartados 6 y 8, del Decreto 62/2017 de 11 de abril, del Gobierno de Aragón, sobre Acuerdos de Acción Concertada de Servicios Sanitarios y Convenios de Vinculación con Entidades Públicas y Entidades sin Ánimo de Lucro.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir, y a tal efecto,
EXPONEN
La Constitución Española de 1978 reconoce, en su artículo 43, el derecho de todos los españoles a la protección de la salud y atribuye a los poderes públicos las competencias para organizar y tutelar la salud pública a través de medidas preventivas y de las prestaciones y servicios necesarios; así mismo, y a través de las previsiones contenidas en el Título VIII, organiza las atribuciones y competencias del Estado sobre la base de la institucionalización de las Comunidades Autónomas.
El artículo 25.2 de la Constitución Española establece que las penas privativas de libertad y las medidas de seguridad estarán orientadas hacia la reeducación y reinserción social, siendo éste el fin primordial de las Instituciones Penitenciarias de acuerdo con el artículo 1 de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria (LOGP).
Conforme a la distribución constitucional de competencias en materia penitenciaria, el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias, tiene asignada la administración y régimen de las instituciones penitenciarias a su cargo, siendo una de sus competencias velar por la vida, integridad y salud de los internos (artículo 3.4 de la LOGP).
A este respecto, la Administración Penitenciaria mantiene, en los establecimientos de ella dependientes, la cobertura sanitaria correspondiente al nivel de Atención Primaria de la Salud (artículo 209 del Reglamento Penitenciario, aprobado por el Real Decreto 190/1996, de 9 de febrero).
La asistencia sanitaria especializada a las personas privadas de libertad se presta por el Servicio Aragonés de Salud, en adelante SALUD. Ello incluye la asistencia especializada en hospitales y centros de especialidades con el desplazamiento de internos cuando es necesario a dichos centros o con el desplazamiento de algunos especialistas a los centros penitenciarios, con el fin de evitar el traslado de internos.
El SALUD, ostenta la cualidad de Responsable de la Actividad de Tratamiento «Historia Clínica Digital Única de Aragón», la cual contiene datos de carácter personal de categoría especial tal como consta en el Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal, a la cual se accede mediante el siguiente enlace: https://aplicaciones.aragon.es/notif_lopd_pub/details.action?fileId=337
El Servicio Aragonés de Salud es un organismo autónomo que se adscribe al Departamento responsable en materia de Salud de la Administración de la Comunidad Autónoma.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, califica a los datos relativos a la salud como especialmente sensibles y determina un régimen jurídico de especial protección para los mismos, cuestión que a su vez protagoniza también la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica.
Los datos de la historia clínica son datos personales de categoría especial. En consecuencia, su tratamiento habrá de efectuarse con plena observancia de las disposiciones vigentes en esta materia.
Establecido el amparo competencial, serán las leyes sectoriales reguladoras de los diferentes ámbitos de la acción pública las que establezcan los concretos términos en que dichas funciones se desarrollan, atendida la especialidad técnica de sus funciones.
La Agencia Española de Protección de Datos, en su informe 018/2006, relativo a tratamiento de datos en servicios de salud penitenciaria, dice en su literalidad: «debe indicarse que los servicios de salud penitenciaria han de ser considerados como establecimientos sanitarios incorporados al sistema nacional de salud, a los efectos establecido en la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud».
El informe extrae, además, las siguientes conclusiones:
1. No será necesario el consentimiento del interno para que el personal sanitario penitenciario pueda consultar los datos que pudieran existir en el fichero centralizado de historias clínicas de un determinado sistema de salud autonómico. Tampoco será preciso informar al interno acerca de dicha consulta.
2. No será necesario el consentimiento para el tratamiento de los datos por parte del personal sanitario penitenciario ni para su inclusión en el fichero centralizado de historias clínicas, no obstante, deberá evitarse la inclusión de cualquier dato que permita dar a conocer el hecho de que el tratamiento ha sido prestado por un servicio sanitario penitenciario.
3. Deberá informarse al interesado del tratamiento y cesión de sus datos en caso de que se refieran al tratamiento o diagnóstico realizados en el centro penitenciario.
4. En cuanto a los supuestos de telemedicina no será preciso el consentimiento del afectado, pero sí la información al mismo, debiendo implantarse las medidas de seguridad de nivel alto previstas en el Real Decreto 994/1999 en todo caso para los ficheros automatizados y en cuanto resulte posible su aplicación para los ficheros manuales.
Como consecuencia de todo lo anterior, las partes estiman conveniente la formalización del presente Convenio para la puesta en funcionamiento de Telemedicina entre centros penitenciarios y la red de dependencias hospitalarias del Servicio de Salud del Gobierno de Aragón.
CLÁUSULAS
El objeto del presente Convenio es:
1. La mejora de la asistencia sanitaria que se presta en los centros penitenciarios de la Comunidad Autónoma de Aragón facilitando el acceso telemático a las historias clínicas informatizadas que existen en el SALUD por parte del personal sanitario de Instituciones Penitenciarias (actualmente titulados en Medicina y Enfermería) que prestan sus servicios en los centros penitenciarios de Daroca, Zuera y Teruel, exclusivamente para la consulta de la historia clínica de pacientes atendidos por ellos en su atención sanitaria habitual. El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la Ley. El acceso comporta, adicionalmente, la capacidad del personal sanitario de Instituciones Penitenciarias para realizar registros en la historia clínica de los pacientes en el nivel de Atención Primaria.
2. Facilitar la implementación de la telemedicina.
3. Facilitar entre ambas instituciones la formación de los profesionales sanitarios.
1. El Ministerio del Interior, se compromete a establecer los mecanismos que aseguren que la utilización del acceso al sistema informático se restrinja a la estrictamente necesaria para la atención sanitaria de los pacientes compartidos y a mantener el deber de secreto y confidencialidad, así como el riguroso cumplimiento de la legislación de protección de datos personales.
2. La Secretaría General de Instituciones Penitenciarias establecerá un sistema de gestión de usuarios transmitiendo puntualmente y sin dilación al SALUD las altas o bajas que se puedan presentar entre sus profesionales sanitarios y que ocupen puesto en la asistencia sanitaria de los centros penitenciarios de Daroca, Zuera y Teruel.
3. Ambas partes se comprometen a facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior en la Comunidad Autónoma de Aragón y sus centros sanitarios de referencia.
4. El Ministerio del Interior facilitará la realización de periodos de rotación en los centros penitenciarios a los profesionales sanitarios en formación (MIR, FIR, EIR) que estén realizando su formación en el SALUD y que así lo soliciten de acuerdo con la correspondiente Unidad de Formación.
1. El SALUD se compromete a autorizar al personal sanitario dependiente de la Secretaría General de Instituciones Penitenciarias, que presta sus servicios en los centros penitenciarios de Daroca, Zuera y Teruel, el acceso a la historia clínica electrónica, a través de un adecuado procedimiento de control de accesos, con la finalidad de que éstos puedan prestar la adecuada asistencia sanitaria a pacientes ingresados en establecimientos penitenciarios.
Para ello, será necesario que dicho personal firme un Acuerdo de Confidencialidad donde aparezcan especificadas las obligaciones y normativa aplicable (anexo II).
Dicho Acuerdo de Confidencialidad deberá ser previamente autorizado en cada caso, por personal de la Dirección General de Asistencia Sanitaria del Departamento de Sanidad, y autorizado finalmente por el Responsable del Tratamiento, el Director Gerente del SALUD. A este Acuerdo de Confidencialidad se le acompañará para el conocimiento de los firmantes, el Decálogo de Protección de Datos para el personal sanitario. Se advertirá, asimismo, que en ningún caso podrá accederse a la Historia Clínica de pacientes a los que no se esté autorizado.
2. Ambas partes se comprometen a facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior en la Comunidad Autónoma de Aragón y sus centros sanitarios de referencia.
3. El SALUD ofertará a los funcionarios sanitarios de Instituciones Penitenciarias la posibilidad de acudir a los cursos de formación continuada que el SALUD oferte a sus profesionales, en función de la disponibilidad de plazas.
1. Las partes se comprometen a mantener la confidencialidad de todos los datos e informaciones facilitado por la otra parte y que sean concernientes a la ejecución del objeto del presente Convenio, debiendo las partes mantener dicha información en reserva y secreto y no revelarla de ninguna forma, total o parcialmente, a ninguna persona física o jurídica que no sea parte del mismo, salvo los casos y mediante la forma legalmente previstos.
Con el fin de garantizar los extremos del párrafo anterior, el acceso a la Historia Clínica Electrónica se realizará únicamente por parte de personal médico y de enfermería (funcionarios de carrera) que prestan sus servicios en los centros penitenciarios de Daroca, Zuera y Teruel.
Los sistemas de información de la Historia Clínica identificarán de forma inequívoca y personalizada a todo profesional que intente acceder a la información contenida en la Historia Clínica de una persona como paciente o persona usuaria y verificarán su autorización. Se deberá dejar constancia de todo acceso en términos que permitan tener conocimiento de la persona que accede, la fecha y la finalidad, debiéndose guardar de cada intento de acceso, como mínimo, la identificación del profesional, el paciente al que se accede, fecha, hora y la documentación de la historia clínica a la que se ha accedido, además del tipo de acceso.
2. La Secretaría General de Instituciones Penitenciarias actúa como encargado del tratamiento y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento con especial mención a la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica. En concreto con lo dispuesto en el artículo 16 de la mencionada Ley. Si destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del presente Convenio y/o la normativa vigente, será considerado también como responsable del tratamiento, respondiendo de las infracciones en que hubiera podido incurrir.
El anexo 1 «Tratamiento de Datos Personales» describe en detalle los datos personales a proteger, así como el tratamiento a realizar y las medidas a implementar por la Secretaría General de Instituciones Penitenciarias, como Encargado de Tratamiento.
3. El Departamento de Sanidad, así como el SALUD, para el cumplimiento de la normativa sobre protección de datos, y para la «tutela de la garantía de los derechos de los ciudadanos en materia de autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica» realizará las auditorías que considere necesarias para la verificación de la correcta utilización de las historias clínicas informatizadas, comprobando el acceso a las mismas únicamente del personal autorizado para ello y su uso exclusivo en el marco de sus competencias profesionales.
4. Asimismo, los profesionales sanitarios de Instituciones Penitenciarias en Aragón, dispondrán de un protocolo de acceso a sus sistemas informáticos que garantice el cumplimiento de las normativas de protección de datos.
Las instituciones firmantes desarrollarán y asumirán en su ámbito todas las tareas que sean necesarias para la consecución de los objetivos indicados en las clausulas 1 y 2. Se emplearán infraestructuras seguras para la conexión, preferentemente la Red SARA entre los Centros Penitenciaros y los centros hospitalarios del SALUD.
El presente Convenio no generará ningún tipo de vínculo contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
1. Para el adecuado seguimiento, coordinación, control e interpretación de lo establecido en el presente Convenio, se crea una Comisión de Seguimiento paritaria integrada por dos miembros designados por cada una de las instituciones firmantes y un/a representante de la Delegación del Gobierno en la Comunidad Autónoma de Aragón, que forma parte de la representación del Ministerio de Justicia en la citada comisión. La comisión se reunirá cuando lo determinen las partes.
2. La comisión se regirá, en cuanto a su funcionamiento, periodicidad de las reuniones y vinculación de sus acuerdos, por lo dispuesto en el capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que regula el funcionamiento de los órganos colegiados.
3. Considerando la evolución profesional en este ámbito, la Comisión de Seguimiento valorará y, en su caso, acordará ampliar el acceso a la Historia Clínica a otras categorías profesionales contempladas en la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias, con niveles de acceso iguales a sus equivalentes en el SALUD.
4. Igualmente, las partes acordarán en el seno de esta comisión aquellos detalles relativos a la ejecución del contenido del Convenio, incluidos los referidos al tratamiento de los datos personales, siempre que no afecte al contenido mínimo y esencial del Convenio.
El presente Convenio no conlleva gastos ni para la Secretaria General de instituciones Penitenciarias, ni para el Servicio Aragonés de Salud del Gobierno de Aragón.
1. De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, el Convenio se entenderá perfeccionado por la prestación del consentimiento de las partes y resultará eficaz una vez sea inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal. Asimismo, será publicado en el plazo de 10 días hábiles desde su formalización en el «Boletín Oficial del Estado».
La vigencia de este Convenio será de cuatro años. Antes de la finalización de la vigencia del Convenio, la Secretaría General de Instituciones Penitenciarias y el SALUD podrán acordar, expresamente y por escrito, su prórroga por hasta otros cuatro años adicionales.
2. Por otra parte, cualquiera de las partes firmantes podrá proceder a su denuncia expresa con un plazo mínimo de dos meses a su fecha de expiración o a la fecha en que se pretenda la extinción anticipada de su vigencia.
3. Las partes firmantes podrán modificar los términos del presente Convenio en cualquier momento, de mutuo acuerdo, mediante la firma de una adenda al mismo, que se encontrará sujeta a los mismos requisitos que se exigen en la tramitación del presente Convenio.
1. El presente Convenio se extingue por incurrir en cualquiera de las causas de resolución del artículo 51 de la Ley 40/2015, de 1 de octubre.
2. Desde la fecha del acuerdo de resolución del Convenio o de la notificación de la voluntad de extinción, en los términos de la presente cláusula, la colaboración se mantendrá, en todo caso, y continuarán hasta su finalización las actividades de prácticas iniciadas con anterioridad a la fecha de referencia, estableciendo un plazo de 6 meses para la finalización de dichas actividades.
El presente Convenio, de naturaleza jurídico-administrativa, se celebra al amparo de la Ley 40/2015, de 1 de octubre.
Las controversias que puedan surgir sobre la interpretación, modificación, ejecución, resolución y efectos que puedan derivarse del presente Convenio se resolverán entre las partes de la manera amistosa en el seno de la Comisión de Seguimiento prevista en la cláusula sexta.
Al tener naturaleza administrativa, el orden jurisdiccional Contencioso-Administrativo será el competente para resolver las cuestiones litigiosas que pudieran suscitarse entre las partes, todo ello de conformidad con lo dispuesto en los artículos 1 y 2 de la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.
Este Convenio se publicará en el «Boletín Oficial del Estado», de acuerdo con lo previsto en la Ley 40/2015, de 1 de octubre. Asimismo, se publicará en el Portal de la Transparencia del Gobierno de España, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (BOE de 10 de diciembre).
De conformidad con cuanto antecedente, y en ejercicio de las atribuciones de que son titulares los firmantes, suscriben por duplicado el presente Convenio en lugar y fecha arriba indicados.–El Secretario General de II PP, Ángel Luis Ortiz González.–La Consejera de Sanidad, Sira Repollés Lasheras.
1. Estipulaciones como encargado de tratamiento:
De conformidad con lo previsto en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, Reglamento General de Protección de Datos), la Secretaría General de Instituciones Penitenciarias se obliga y garantiza el cumplimiento de las siguientes obligaciones:
a) Tratar los datos personales conforme a las instrucciones documentadas en el presente Convenio y aquellas que, en su caso, reciba de SALUD por escrito en cada momento.
La Secretaría General de Instituciones Penitenciarias informará inmediatamente al SALUD cuando, en su opinión, una instrucción sea contraria a la normativa de protección de datos personales aplicable en cada momento.
b) No utilizar ni aplicar los datos personales con una finalidad distinta a la ejecución del objeto del presente Convenio.
c) Tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del Reglamento General de Protección de Datos, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias, o convenientes, para asegurar la confidencialidad, secreto e integridad de los datos personales a los que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detallados en el apartado 2 del presente anexo.
d) Mantener la más absoluta confidencialidad sobre los datos personales a los que tenga acceso para la ejecución del Convenio, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de la Secretaría General de Instituciones Penitenciarias, siendo deber de esta parte instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la ejecución del Convenio o de su desvinculación.
e) Llevar un listado de personas autorizadas para tratar los datos personales objeto de este Convenio y garantizar que las mismas se comprometen, de forma expresa y por escrito (según modelo del anexo II), a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente, así como a mantener a disposición del SALUD dicha documentación acreditativa.
f) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas a su tratamiento.
g) Salvo que cuente en cada caso con la autorización expresa del responsable del tratamiento, no comunicar, ceder, ni difundir los datos personales a terceros, ni siquiera para su conservación.
h) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1.º Acceso, rectificación, supresión y oposición.
2.º Limitación del tratamiento.
i) Nombrar un delegado de protección de datos, en caso de que sea necesario según el Reglamento General de Protección de Datos, y comunicarlo al SALUD, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por la Secretaría General de Instituciones Penitenciarias como sus representante(s) a efectos de protección de los datos personales (representantes del encargado de tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de datos personales, en las vertientes legales/formales y en las de seguridad.
j) Una vez finalizada la prestación objeto del presente Convenio, se compromete, según corresponda y se instruye en el presente anexo «Tratamiento de Datos Personales», a devolver o destruir:
1.º Los datos personales a los que haya tenido acceso;
2.º Los datos personales generados por la Secretaría General de Instituciones Penitenciarias por causa del tratamiento; y
3.º Los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho de la Unión Europea su conservación, en cuyo caso no procederá la destrucción.
El encargado del tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el responsable del tratamiento. En este último caso, los datos personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
k) Según corresponda y se indique en el presente anexo, a llevar a cabo el tratamiento de los datos personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que en el presente anexo se especifican, equipamiento que podrá estar bajo el control del SALUD o bajo el control directo o indirecto de la Secretaría General de Instituciones Penitenciarias, u otros que hayan sido expresamente autorizados por escrito por el SALUD, según se establezca en este anexo en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este Convenio.
l) Salvo que se indique otra cosa en este anexo o se instruya así expresamente por el SALUD, a tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera terceros autorizados conforme a lo establecido en este Convenio, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que por causa de Derecho nacional o de la Unión Europea la Secretaría General de Instituciones Penitenciarias se vea obligada a llevar a cabo alguna transferencia internacional de datos, informará por escrito al SALUD de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al SALUD, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
m) De conformidad con el artículo 33 del Reglamento General de Protección de Datos, comunicar al SALUD, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del Convenio. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
n) Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable, conjuntamente, los «Derechos»), ante el encargado del tratamiento, éste debe comunicarlo al SALUD con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá al SALUD, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
ñ) Colaborar con el SALUD en el cumplimiento de sus obligaciones en materia de:
1.º Medidas de seguridad,
2.º Comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y
3.º Colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición del SALUD, a requerimiento de éste, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este Convenio y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el SALUD.
o) En los casos en que la normativa así lo exija (de acuerdo con el artículo 30.5 del Reglamento General de Protección de Datos), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del Reglamento General de Protección de Datos, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del SALUD (Responsable del tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.
p) Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de datos personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del SALUD a requerimiento de ésta. Asimismo, durante la vigencia del Convenio, pondrá a disposición del SALUD toda información, certificaciones y auditorías realizadas en cada momento.
q) Derecho de información: El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
La presente cláusula de este anexo y las obligaciones en ella establecidas, constituyen el acto jurídico de encargo de tratamiento entre el SALUD y la Secretaría General de Instituciones Penitenciarias a que hace referencia el artículo 28.3 Reglamento General de Protección de Datos. Las obligaciones y prestaciones que aquí se contienen no son retribuíbles de forma distinta de lo previsto en el presente Convenio y tendrán la misma duración que el Convenio, prorrogándose en su caso por períodos iguales a éste. No obstante, a la finalización del Convenio, el deber de secreto continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del Convenio.
Para el cumplimiento del objeto de este Convenio no se requiere que la Secretaría General de Instituciones Penitenciarias acceda a ningún otro dato personal responsabilidad del SALUD, y por tanto no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en este anexo. Si se produjera una incidencia durante la ejecución del Convenio que conllevara un acceso accidental o incidental a datos personales responsabilidad del SALUD no contemplados en el presente anexo, la Secretaría General de Instituciones Penitenciarias deberá ponerlo en conocimiento del SALUD, con la mayor diligencia y a más tardar en el plazo de 72 horas.
2. Tratamiento de datos de carácter personal por terceros ajenos al Convenio:
Cuando el Convenio permita que las actividades objeto del Convenio sean llevadas a cabo por otra persona física o jurídica, y en caso de que la Secretaría General de Instituciones Penitenciarias pretenda ejecutar las prestaciones del Convenio con terceros, y éste deba acceder a datos personales, la Secretaría General de Instituciones Penitenciarias lo pondrá en conocimiento previo del SALUD, identificando qué tratamiento de datos personales conlleva, para que el SALUD decida, en su caso, si otorgar o no su autorización a dicha ejecución de actividades.
En todo caso, para autorizar la ejecución de actividades, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde al SALUD la decisión de si otorgar, o no, dicho consentimiento):
a) Que el tratamiento de datos personales por parte del tercero que ejecuta las prestaciones del Convenio se ajuste a la legalidad vigente, lo contemplado en este Convenio y a las instrucciones del SALUD.
b) Que la Secretaría General de Instituciones Penitenciarias y el tercero que ejecute parte de las prestaciones del Convenio formalicen un acto jurídico de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente Convenio, el cual será puesto a disposición del SALUD a su mera solicitud para verificar su existencia y contenido.
La Secretaría General de Instituciones Penitenciarias informará al SALUD de cualquier cambio previsto en la incorporación o sustitución de otros terceros que ejecuten el Convenio, dando así al SALUD la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta del SALUD a dicha solicitud por el contratista equivale a oponerse a dichos cambios.
3. Información sobre el tratamiento de los datos de carácter personal:
Los datos de carácter personal serán tratados por los servicios sanitarios de los centros penitenciarios ubicados en la Comunidad de Aragón para ser incorporados a la historia clínica digital de instituciones penitenciarias, con fines asistenciales, epidemiológicos y de gestión sanitaria de los internos de los citados centros penitenciarios, según mandato legal recogido en la Ley orgánica 1/1979, de 26 de septiembre, General Penitenciaria, desarrollado en el Reglamento Penitenciario, R.D. 190/1996, de 9 de febrero.
Los datos de carácter personal serán comunicados a juzgados; tribunales de justicia, fiscalías y a cuantas entidades (públicas o privadas) legitimadas por la Ley, y en los términos recogidos en la Ley, sean de obligado cumplimiento.
Se conservarán los datos durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa nacional y autonómica de archivos y documentación sanitaria.
Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante el SALUD, según los procedimientos administrativos establecidos al efecto.
Puede obtener más información en la página web del Gobierno de Aragón, Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal, en la siguiente url: https://aplicaciones.aragon.es/notif_lopd_pub/details.action?fileId=337
4. Descripción general del tratamiento de datos personales a efectuar:
4.1 Descripción.
El tratamiento consistirá en la utilización de los datos obtenidos con fines asistenciales, epidemiológicos y de gestión sanitaria. El personal adscrito por la Secretaría General de Instituciones Penitenciarias, para ejecutar las prestaciones del presente Convenio puede tratar datos personales. Éstos se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance del objeto del Convenio.
En caso de que como consecuencia de la ejecución de las prestaciones del Convenio resultara necesario en algún momento la modificación de lo estipulado en este anexo, la parte firmante interesada lo requerirán razonadamente y señalará los cambios que solicita. En caso de que la otra parte firmante estuviese de acuerdo con lo solicitado, se emitiría un anexo actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento.
4.2 Colectivos y datos tratados:
Los colectivos de interesados y datos personales tratados a las que puede tener acceso la Secretaría General de Instituciones Penitenciarias son:
Tratamientos y principales colectivos de interesados | Datos personales del tratamiento a los que se puede acceder |
---|---|
Asistencia sanitaria. | Datos de salud. |
4.3 Elementos del tratamiento:
El tratamiento de los datos personales comprenderá: (márquese lo que proceda).
X Recogida (captura de datos). | X Registro (grabación). | X Estructuración. | X Modificación. |
X Conservación (almacenamiento). | X Extracción (retrieval). | X Consulta. | □ Cesión. |
□ Difusión. | □ Interconexión (cruce). | X Cotejo. | □ Limitación. |
□ Supresión. | □ Destrucción (de copias temporales). | □ Conservación (en sus sistemas de información). | □ Otros: ............... |
□ Duplicado. | □ Copia (copias temporales). | □ Copia de seguridad. | □ Recuperación. |
4.4 Disposición de los datos al finalizar el objeto del Convenio:
Una vez finalice el objeto del Convenio, la Secretaría General de Instituciones Penitenciarias debe:
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del Convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del Convenio.
No obstante, el responsable del tratamiento podrá requerir al encargado para que en vez de la opción a), cumpla con la b) o con la c) siguientes.
b) Devolver al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del Convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplido el objeto del Convenio. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del Convenio.
4.5 Medidas de seguridad:
Los datos deben protegerse empleando las medidas que un sujeto diligente debe tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad, según Esquema Nacional de Seguridad conforme a la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La Secretaría General de Instituciones Penitenciarias no podrá no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa del SALUD. A estos efectos, el personal de la Secretaría General de Instituciones Penitenciarias debe seguir las medidas de seguridad establecidas por el SALUD, no pudiendo efectuar tratamientos distintos de los definidos por éste.
Don/Doña ………………………………..…………………….....…………………....………, mayor de edad, con DNI ……………………… funcionario del Ministerio del Interior con categoría profesional de ………………………… y dentro del Convenio entre la Secretaría de General de Instituciones Penitenciarias, del Ministerio del Interior, y el Servicio de Salud del Gobierno de Aragón en materia de asistencia sanitaria a personas privadas de libertad en centros penitenciarios, para dar cumplimiento a la normativa de Protección de Datos de Carácter Personal, declara que realiza actividades que requieren la conexión con los Sistemas de Información OMI Y HCE, obteniendo por ello la condición de tercero encargado de tratamiento de los datos personales cuya responsabilidad es del Servicio Aragonés de Salud (en adelante, SALUD), exigiéndosele por ello las siguientes se compromete y obliga a:
Atender las instrucciones relativas a la seguridad de la información contenidas en las normas de seguridad de las Administraciones, y en particular los requisitos de seguridad establecidos en la Política de Seguridad del Salud (BOA de 14/4/2015) y a tratar dichos datos conforme a las concretas instrucciones recibidas del Centro de Gestión Integrada de Proyectos Corporativos del SALUD.
Guardar secreto sobre las informaciones confidenciales y los datos de carácter personal de los que tenga conocimiento en el ejercicio de las funciones que le son encomendadas, no comunicando a ningún tercero, ni siquiera para su conservación, los datos facilitados por el SALUD como responsable del fichero. Esta obligación subsistirá aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Notificar de manera inmediata al responsable de su entidad, cualquier incidente de seguridad sobre los tratamientos realizados o si, en su opinión, una instrucción infringe el Reglamento Europeo u otras disposiciones en materia de protección de datos de la Unión o nacional.
Realizar únicamente las tareas que se le encomienden dentro del mencionado Convenio y en la forma indicada y, en particular, no debe utilizar la información tratada para otra finalidad.
El firmante se compromete a, una vez cumplida la prestación asociada al acuerdo, devolver al Centro de Gestión Integrada de Proyectos Corporativos del SALUD los datos objeto de tratamiento que obren en su poder en cualquier soporte, así como a destruir aquellos según las instrucciones del responsable de tratamiento.
El firmante se compromete a, una vez cumplida la prestación asociada al acuerdo, informar al Centro de Gestión Integrada de Proyectos Corporativos del SALUD para que este proceda a eliminar cualquier posibilidad de acceso a los datos por parte del mismo y comunicar la baja en el puesto de trabajo.
Queda informado de que cualquier incumplimiento de estos compromisos, y de la legislación vigente, podrá dar origen a las oportunas acciones para exigir reparación de las posibles responsabilidades en que pudiera incurrir.
En, ......................, a .... de ........................... de 20....
Fdo:
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid